Mozilla сообщила о том, что база, содержащая имена и хэши паролей пользователей addons.mozilla.org была случайно опубликована в Интернете. Акаунты на addons.mozilla.org в свое время чаще всего заводили для того, чтобы устанавливать экспериментальные версии дополнений. Всего в свободном доступе некоторое время была доступна информация о 44 тыс пользователей. Каждый из них уже получил предупреждение от Mozilla в виде электронного письма.
Mozilla не хранит пароли в открытом виде, однако до апреля 2009 года они шифровались с помощью алгоритма MD5, который как известно сейчас, имеет уязвимости. Имея хэш-код на руках, можно подобрать пароль, или получить другой набор символов, который не является паролем пользователя, но воспринимается системой проверки, поскольку имеет такой же хэш.
Mozilla исследовала log-файлы доступа и выяснила, что единственным человек за пределами компании, получившим доступ к этой информации, был пользователь, который и сообщил об утечке.
В компании насовсем удалили информацию о всех этих паролях, поскольку с 9 апреля 2009 года используется альтернативный, более надежный, алгоритм шифрования SHA-512, не имеющий описанных выше недостатков MD5.