Een ernstig beveiligingslek in de Persona inlogdienst van Mozilla zorgde ervoor dat een aanvaller op websites die Persona gebruiken als iemand anders kon inloggen. Mozilla Persona is een dienst waarmee gebruikers zich bij websites en online diensten kunnen authenticeren.

In plaats voor elke website een aparte gebruikersnaam en wachtwoord te kiezen, laat Persona gebruikers met alleen hun e-mailadres en één wachtwoord op elke website inloggen die Persona ondersteunt. Persona laat de website weten dat de gebruiker die zich aanmeldt echt de eigenaar van het gebruikte e-mailadres is, zonder het Persona wachtwoord aan de website door te geven.

Inloggen

Door de kwetsbaarheid in de dienst was het mogelijk voor een aanvaller om met een bestaand Yahoo- of Gmailaccount van iemand anders in te loggen, zonder het bijbehorende wachtwoord te weten. De kwetsbaarheid werd op 24 september door een beveiligingsonderzoeker aan Mozilla gerapporteerd, dat het probleem op 27 september patchte.

Aanvullend zal de opensource-ontwikkelaar de code en libraries die Persona gebruikt nader inspecteren. Volgens Mozilla ging het om een ernstig lek, maar zijn er geen aanwijzingen dat het door kwaadwillenden is misbruikt.