Dat meldt Mozilla vrijdag in een blogpost.
De hacker verschafte zichzelf met een van een andere website buitgemaakt wachtwoord toegang tot het account van een gebruiker van Bugzilla. Bugzilla is het systeem waarin Mozilla bugs in zijn diverse diensten, waaronder de populaire browser Firefox, bijhoudt. Veel van de informatie op Bugzilla is vrij in te zien, maar het deel over veiligheidslekken vereist speciale toegangsrechten.
Jaar
En die rechten had de getroffen gebruiker. Hoewel de eerste bevestigde inlog in het account door de hacker in september 2014 was, had de aanvaller mogelijk al sinds september 2013 toegang. Met die toegang kon de hacker informatie over een lek in Firefox dat pas vorige maand is gedicht, stelen. Tegen die tijd was er al een exploit voor de kwetsbaarheid gesignaleerd.
“Het getroffen account werd vlot nadat Mozilla ontdekte dat het gehackt was, gesloten”, schrijft Richard Barnes van Mozilla. “We denken dat de aanvaller informatie uit Bugzilla heeft gebruikt om het lek dat we op 6 augustus dichtten te misbruiken. De Firefox-patch van 27 augustus heeft alle lekken waar de hacker weet van had kunnen hebben gedicht.”