[これは米国 Mozilla のセキュリティブログ MDN Database Disclosure の抄訳です。]
Mozilla Developer Network 登録者に影響する情報漏洩ついて調査を実施し結論がでましたのでご報告いたします。私たちは本インシデントについて、情報漏洩が明らかになってから即座に調査を開始しました。10 日前、内部の Web 開発者の一人が、6 月 23 日頃からおよそ 30 日間にわたって Mozilla Developer Network (MDN) のデータベースのデータサニタイズ処理が動作していなかったことに気づきました。この結果として、76,000 の MDN ユーザのメールアドレスと、およそ4,000 ユーザの暗号化されたパスワードがパブリックにアクセス可能なサーバ上に公開されるインシデントが発生しました。公開状態になっていたデータベースダンプファイルの削除、このファイルが生成されるにいたった機能を無効化し更なる漏洩の防止する対応をすでに実施済みです。このサーバ上で悪意のある活動は検知されていませんが、こうしたアクセスが確実になかったとは言い切れません。
私たちはプライバシーとセキュリティに対してコミットしてきたにも関わらず、本件によりみなさんにご不便とご心配をおかけしていること、深くお詫び申し上げます。
暗号化されたパスワードはソルト付きでハッシュ化されたもので、現時点でそれを使って MDN の Web サイトで認証することはできません。それでも、MDN のユーザーが MDN で元々使っていたパスワードを、Mozilla 以外のウェブサイトや認証システムで利用していた可能性はあります。私たちはすでに対象となるユーザへの連絡を行いました。メールアドレスとパスワードの両方が漏洩したユーザに対しては、利用している類似のパスワードもすべて変更することを推奨しています。
ユーザーへの通知と短期的な対応方法の周知だけでなく、私たちは今後類似の問題が発生しないよう基本的な方針とプロセスの見直しをおこなっています。ご質問があれば security@mozilla.org へご連絡ください。
Thanks,
Stormy Peters
Director of Developer Relations
Joe Stevensen
Operations Security Manager