La Fundación Mozilla ha notificado que hasta el pasado 17 de diciembre se publicaron por error una parte importante de los datos de usuarios registrados en addons.mozilla.org, concretamente el identificador de usuario y hash MD5 de las contraseña de 44.000 de sus usuarios.

Al parecer el fallo se debió a que esta información fue dejada en un servidor público de manera accidental, hasta que un investigador independiente alertó de este error a través del programa de recompensas.

Desde Mozilla aseguran, después de un análisis de sus logs, que las únicas personas que accedieron a la información fueron la persona que puso en conocimiento esta información y miembros del equipo Mozilla. Además, al parecer pertenecían a usuarios "inactivos". La empresa ha respondido deshabilitando las cuentas  y mandando un correo electrónico a todos los afectados para que recuperen sus contraseñas. En cualquier caso este incidente no afectó ninguna de las infraestructuras de Mozilla

El problema de esta divulgación accidental reside en las cada vez más escasas garantías que ofrece MD5 debido a su debilidad criptográfica. Por esta razón Mozilla adoptó en abril de 2009 un sistema criptográfico más seguro, SHA512 para almacenar sus contraseñas, y es el método que utilizan todas las cuentas actuales.

Mozilla Security Blog 27/12/2010

http://blog.mozilla.com/security/2010/12/27/addons-mozilla-org-disclosure/