Недавно компания Mozilla сообщала о том, что злоумышленники сумели взломать аккаунт одного из привилегированных пользователей багтрекера Bugzilla.

А теперь исследователь обнаружил в Bugzilla критическую уязвимость, при помощи которой подобный трюк сможет провернуть даже школьник. Баг основывается на том, что багтрекер раздает права пользователям, отталкиваясь от их email-адресов. Когда пользователь регистрирует аккаунт с ящика, домен которого относится к списку доверенных организаций, такому юзеру выдаются привилегированные права.

Представители Mozilla обнародовали отчет о взломе багтрекера Bugzilla, согласно которому, неизвестным удалось похитить информацию о 185 «непубличных» уязвимостях в браузере Firefox и других продуктах Mozilla.

Предположительно, хакеры использовали эти данные для атак на пользователей «Огнелиса». Расследование компании показало, что один из пользователей, очевидно, использовал один и тот же пароль для Bugzilla и других сайтов. Один из сайтов оказался скомпрометирован, в результате чего, пароль попал в руки злоумышленников.