Het beveiligingslek in Firefox waarmee gebruikers van Tor Browser zijn aangevallen zou bij sommige partijen al een jaar lang bekend zijn geweest. Via de kwetsbaarheid werd geprobeerd om het ip-adres en mac-adres van Tor Browser-gebruikers te achterhalen, die via de browser juist anoniem willen blijven.
Het beveiligingslek in kwestie zou in december vorig jaar door Exodus Intelligence aan beveiligingsbedrijf Fortinet zijn verkocht, zo melden zakenblad Forbes en Vice Magazine. Exodus Intelligence betaalt beveiligingsonderzoekers voor het rapporteren van kwetsbaarheden, die het vervolgens aan klanten doorspeelt, zoals beveiligingsbedrijven en opsporingsdiensten. Fortinet voegt dergelijke informatie aan de eigen beveiligingsapparatuur toe, zodat klanten van het bedrijf tegen eventuele aanvallen beschermd zijn. Op 10 december 2015 verscheen er een tweet van Fortinet dat het informatie over een "zero day" in Firefox aan de eigen systemen had toegevoegd.
Bronnen laten tegenover Forbes weten dat dit de kwetsbaarheid is waarvoor deze week een noodpatch van Mozilla en het Tor Project verscheen, zodat gebruikers van Firefox en Tor Browser beschermd zijn. "We hebben de afgelopen jaren meerdere kwetsbaarheden in Firefox aan onze klanten geleverd. Deze lijkt inderdaad er één van ons te zijn, maar we onderzoeken op dit moment hoe het precies is gelekt en hoe het was gebruikt", zegt Logan Brown, president van Exodus Intelligence.
Een bron verklaart aan Vice Magazine dat de kwetsbaarheid en een werkende exploit om er misbruik van te maken begin dit jaar aan een "offensieve klant" zijn doorverkocht. "Een offensieve klant bij een opsporingsdienst had er ergens deze zomer de beschikking over", laat de bron verder weten, die ook opmerkt dat het lek mogelijk met meerdere partijen is gedeeld. In een reactie zegt Brown dat Exodus Intelligence de leverancier in kwestie niet altijd inlicht over een kwetsbaarheid in diens producten, wat inhoudt dat beveiligingslekken lange tijd ongepatcht kunnen blijven. In dit geval heeft Brown toegezegd dat hij met Mozilla zal samenwerken om te kijken of de kwetsbaarheid in kwestie nu echt volledig is gepatcht.
Deze posting is gelocked. Reageren is niet meer mogelijk.