Mozilla heeft een beveiligingstool voor Firefox ontwikkeld die gebruikers voor gehackte accounts waarschuwt. Firefox Monitor, zoals de tool heet, maakt gebruik van data die van Have I Been Pwned afkomstig is. Have I Been Pwned is een zoekmachine waarmee gebruikers in meer dan 5 miljard gestolen records kunnen kijken of hun data ooit bij een website is gestolen.

Volgens Mozilla is er een sterke stijging van het aantal datalekken en heeft het daarom besloten Firefox Monitor te ontwikkelen zodat gebruikers kunnen kijken of ze slachtoffer zijn geworden. Om te kijken of een account is gehackt moeten gebruikers in Firefox Monitor een e-mailadres invoeren. Mozilla merkt op dat het beschermen van de privacy van gebruikers erg belangrijk is. Daarom wordt het volledige e-mailadres van de gebruiker nooit volledig buiten Mozilla verstuurd.

Zodra de gebruiker zijn e-mailadres invoert maakt Firefox Monitor hier een hash van en stuurt de eerste zes karakters naar Have I Been Pwned. Mozilla stelt dat gehashte gegevens nog steeds kwetsbaar voor bruteforce-aanvallen zijn. Een aanvaller kan een lijst met e-mailadressen langsgaan om zo het e-mailadres te vinden dat bij een bepaalde hash hoort. Om dit aanvalsoppervlak te verkleinen slaat Firefox Monitor de zogeheten range queries en resultaten niet op in een database. In plaats daarvan worden de resultaten van de gebruiker in een versleutelde clientsessie opgeslagen.

Op dit moment bevindt Firefox Monitor zich nog in de testfase. Begin volgende week zullen 250.000 Firefox-gebruikers, voornamelijk in de Verenigde Staten, worden uitgenodigd om de feature te proberen. Zodra Mozilla tevreden met de testresultaten is zal de dienst voor alle Firefox-gebruikers beschikbaar worden gemaakt.