駭客總計存取了未被公開的185個臭蟲，其中有53個臭蟲屬於重大的安全漏洞，而且駭客已透過其中的1個漏洞來攻擊Firefox用戶，蒐集Firefox用戶的個人資訊。

Mozilla坦承，該基金會所使用的臭蟲追蹤與測試工具Bugzilla遭到駭客入侵，駭客總計存取了未被公開的185個臭蟲，其中有53個臭蟲屬於重大的安全漏洞，而且駭客已透過其中的1個漏洞來攻擊Firefox用戶，蒐集Firefox用戶的個人資訊。

Bugzilla為一開放源碼的臭蟲追蹤與測試工具，許多組織用它來蒐集與管理臭蟲。除了Mozilla基金會之外， WebKit、Linux kernel及 FreeBSD等軟體專案，紅帽（Red Hat）與Apache軟體基金會也都是Bugzilla的用戶。

Mozilla說明，在Bugzilla中的大多數資訊都是公開的，而與安全相關的資訊則僅限於特定權限的使用者存取。但有一名具權限的使用者在另一個被駭網站使用了與Bugzilla一樣的密碼，駭客取得其密碼存取了Bugzilla上的機密安全資訊。已確認的時間點為2014年9月，也有跡象顯示駭客可能在2013年9月就已入侵Bugzilla。

根據Mozilla的統計，駭客總計竊取了185個未公開的資訊，其中有110個因特殊原因受到保護而無關軟體安全，另有22個屬於輕微的安全問題，另有53個為重大的安全漏洞。在這53個重大漏洞中，有43個在駭客發現之前便已修補，剩下的10個則存在著長短不一的修補空窗期，其中有一漏洞自從被駭客存取至完成修補的空窗期長達335天。

目前已知駭客針對其中一個漏洞進行攻擊，可誘導使用者造訪一個位於俄國的新聞網站，並藉以蒐集使用者的個人資訊。而Mozilla已於今年的8月6日修補了該漏洞。

Mozilla安全團隊負責人Richard Barnes表示，在發現某一Bugzilla帳號遭到盜用後，Mozilla旋即關閉該帳號並展開調查，同時採取了多項補救措施以強化Bugzilla的安全性，包括重設所有具權限用戶的密碼、限制Bugzilla用戶所能存取的資訊量，以及加強對Bugzilla用戶的行為監管。

目前Mozilla尚未發現其他漏洞遭到駭客利用，並建議Firefox用戶採用最新的版本，同時已於8月27日釋出新版的Firefox for Desktop、Firefox for Android與Firefox延伸支援版（Firefox ESR），全面修補駭客已得知且可用來危害Firefox用戶的安全漏洞。（編譯/陳曉莉）