<div class="im"><span style="background-color: transparent; ">On Tue, Oct 11, 2011 at 3:39 PM, Josh Juran </span><span dir="ltr" style="background-color: transparent; "><<a href="mailto:josh@iswifter.net" target="_blank">josh@iswifter.net</a>></span><span style="background-color: transparent; "> wrote:</span><br>
</div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0.8ex; border-left-width: 1px; border-left-color: rgb(204, 204, 204); border-left-style: solid; padding-left: 1ex; ">
<div class="im"><div>On Oct 11, 2011, at 12:13 PM, Jeremy White wrote:<br></div></div><div class="im"><div><br>> Unfortunately, the attackers were able to download the full login<br>> database for both the appdb and bugzilla.  This means that they have all<br>
> of those emails, as well as the passwords.  The passwords are stored<br>> encrypted, but with enough effort and depending on the quality of the<br>> password, they can be cracked.<br>><br>> This, I'm afraid, is a serious threat; it means that anyone who uses the<br>
> same email / password on other systems is now vulnerable to a malicious<br>> attacker using that information to access their account.<br><br></div>Since bugzilla passwords were sent in cleartext anyway, I sincerely hope none of them were otherwise valuable.  (Remember FireSheep?)<div>
<div><br></div></div></div><font color="#888888">Josh<br><br></font></blockquote></div><br><div>Wait, what? Bugzilla sends passwords in cleartext? That isn't very smart... Is there no way to replace this with some sort of client based hashing or something?</div>