Un bug de Bugzilla provoque la divulgation de 97.000 adresses e-mail

Bugzilla est un système de suivi des bogues, utilisé par de très nombreuses sociétés (dont Novell et Red Hat), ainsi que divers projets Open Source d'envergure (Apache, Eclipse, Firefox, LibreOffice, Linux, etc.).

Le site landfill.bugzilla.org est un serveur de test employé par des milliers d'utilisateurs cherchant à découvrir les changements opérés sur cet outil Open Source. Entre le 4 mai 2014 et début août, des fichiers contenant les adresses e-mail et mots de passe de 97 000 utilisateurs de landfill.bugzilla.org se sont retrouvés en clair sur un serveur, indiquent les responsables du projet.

Fort heureusement, les mots de passe utilisent une méthode de chiffrement fort et ne seront donc pas exploitables. Reste que les adresses e-mail de près de 100 000 développeurs se sont retrouvées dans la nature.

Un problème qui ne devrait plus se reproduire

Par sécurité, l'ensemble des mots de passe a été réinitialisé. Des dispositions ont été prises afin que cet incident ne se reproduise pas dans le futur : « dès que nous avons pris connaissance de ce problème, les fichiers de sauvegarde des bases de données ont été supprimés du serveur et nous avons modifié le processus de test afin qu'il ne nécessite plus de dump des bases de données », explique Mark Côté sur le blogue de Bugzilla.

Ceci n'est pas sans rappeler la mésaventure qui a touché Mozilla dernièrement. Suite à une erreur de manipulation, les adresses e-mail des membres du Mozilla Developer Network se retrouvaient en ligne. Voir à ce propos notre article « Les données de 76 000 développeurs Mozilla en fuite sur la Toile ».

Sur le même thème

Quiz - Fuites de données, petits secrets et grands scandales
Fuite de données : la CNIL met un carton jaune à DHL