Un ricercatore di sicurezza ha trovato una parte del database degli account del sito degli add-on di Firefox su un server pubblico di Mozilla. Si tratta di circa 44 mila account (inattivi), che la fondazione ha prontamente disabilitato cancellando le password.
Il database conteneva account con password cifrate con l'algoritmo crittografico di hashing MD5 (Message Digest algorithm 5), ritenuto vulnerabile e perciò abbandonato da Mozilla il 9 aprile 2009 a favore del SHA-512. Ogni account conteneva anche informazioni quali l'indirizzo email, il nome e il cognome.
Secondo Mozilla questo "scivolone" pone rischi minimi per i propri utenti. La fondazione ha contattato gli utenti colpiti dal problema con una e-mail. "Attualmente gli utenti e gli account di addons.mozilla.org non sono a rischio," ha dichiarato Chris Lyon, direttore dell'infrastruttura di sicurezza di Mozilla.
Al momento non è chiaro come possa essere accaduto il misfatto, ma in via del tutto ipotetica si può propendere per l'errore umano. Purtroppo c'è un danno collaterale che Mozilla non può controllare: molti utenti usano nickname e password identici su più portali. Chi ha scaricato il database potrebbe essersi appropriato quindi di una password valida anche su altri siti.