Eine Sicherheitslücke bei Mozilla hat tausende Bugzilla-Nutzerdaten freigelegt. Sowohl die E-Mail-Adressen als auch die Passwörter von Bugzilla-Nutzern waren öffentlich zugänglich. Nach einem Serverwechsel lagen die sensiblen Daten von insgesamt 97.000 Nutzern drei Monate lang offen, bestätigte ein offizieller Bugzilla-Blog-Eintrag.
Bei der Migration eines Testservers für das Bugzilla-Projekt wurden sogenannte Dump Files im ungeschützten Bereich des Servers angelegt. Inzwischen hat Mozilla die Daten entfernt und den Ablauf für einen Serverumzug so geändert, dass keine Dump Files mehr angelegt werden.
Betroffen von der Sicherheitslücke sind nur Bugzilla-Nutzer, die sich auf dem Testserver angemeldet hatten. Aus Sicherheitsgründen hat Mozilla jedoch alle Passwörter zurückgesetzt. Daher erhalten Nutzer beim nächsten Login in Bugzilla die Auforderung, ein neues Passwort zu erstellen.
Mozilla hatte erst Anfang August eine Sicherheitslücke gemeldet. Von Mitgliedern des Mozilla Developer Network waren 6.000 E-Mail-Adressen und 4.000 Passwörter für 30 Tage auf dem Server öffentlich einsehbar, da ein Auszug der Daten auf einem öffentlich zugänglichen Server gespeichert worden war.