Mozilla基金会最近承认使用的bug追踪与测试工具Bugzilla遭到黑客入侵，黑客总共存取了未被公开的185个bug，其中有53个bug属于重大的安全漏洞，而且黑客已通过其中的漏洞来攻击Firefox用户并搜集Firefox用户的个人信息。

今年8月上旬，一名Firefox用户在访问俄罗斯新闻网站中发现页面所嵌入的广告可通过浏览器存在的漏洞访问用户的敏感文件，并将其上传至乌克兰的一台服务器上，随后Mozilla在上月发布紧急更新补丁修复这个问题。而近日一名黑客成功破解Mozilla的BUG追踪系统“Bugzilla”，并偷窃了关于潜在漏洞的相关数据。

Bugzilla是开源的bug追踪与测试工具，许多组织用它来搜集与管理bug。除了Mozilla基金会之外， WebKit、Linux kernel及 FreeBSD等软件专案，红帽(Red Hat)与Apache软件基金会也都是Bugzilla的用户。

Mozilla说明，在Bugzilla中的大多数信息都是公开的，而与安全相关的信息则仅限于特定权限的用户存取。但有一名具权限的用户在另一个被黑网站使用了与Bugzilla一样的密码，黑客取得其密码存取了Bugzilla上的机密安全信息。已确认的时间点为2014年9月，也有迹象显示黑客可能在2013年9月就已入侵Bugzilla。

根据Mozilla的统计，黑客总计窃取了185个未公开的信息，其中有110个因特殊原因受到保护而无关软件安全，另有22个属于轻微的安全问题，另有53个为重大的安全漏洞。在这53个重大漏洞中，有43个在黑客发现之前便已修补，剩下的10个则存在长短不一的修补空窗期，其中有一个漏洞自从被黑客存取至完成修补的空窗期长达335天。

目前已知黑客针对其中一个漏洞进行攻击，可诱导用户造访一个新闻网站，并搜集用户的个人信息。而Mozilla已于今年的8月6日修补了该漏洞。

Mozilla安全团队负责人Richard Barnes表示，在发现某一Bugzilla帐号遭到盗用后，Mozilla立即关闭该帐号并展开调查，同时采取了多项补救措施以强化Bugzilla的安全性，包括重设所有具权限用户的密码、限制Bugzilla用户所能存取的信息量，以及加强对Bugzilla用户的行为监管。

目前Mozilla尚未发现其他漏洞遭到黑客利用，并建议Firefox用户采用最新的版本，同时已于8月27日发布新版的Firefox for Desktop、Firefox for Android与Firefox延伸支持版(Firefox ESR)，全面修补黑客已得知且可用来危害Firefox用户的安全漏洞。

Mozilla表示黑客设法访问了Bugzilla的“安全敏感”信息，和存储库中其他部分有所不同的是这些信息都并不对外公开。Mozilla表示目前已经被感染的帐号一经发现立即查封，此外已经制定了相应的措施来提升系统安全性，避免此类安全事件再次发生。其中一项措施是要求所有授权访问安全敏感信息的用户都更改密码，并使用双因素认证。此外Mozilla还将设定新的限制对每个级别用户能够访问的权限进行区分，所以在未来如果一个帐号被盗，攻击者也不会访问太多的数据。

(责任编辑：腰编辑)