El usuario de Mozilla Johann-Peter Hartmann descubrió mientras trabajaba que un plugin del popular navegador Firefox enviaba información confidencial a un atacante. Lo más curioso del ataque es que la extensión que contenía el backdoor era una herramienta de seguridad, una situación realmente paradójica. Se trataba de Mozilla Sniffer, un plugin parte de la colección Web Application Security Penetration Testing que reúne todos aquellos relacionados al análisis de la seguridad de un sitio web.
En palabras de su descubridor, Hartmann, esto fue lo ocurrido:
Estaba probando la OWASP Firefox Security Collection, que instaló un paquete de extensiones desconocidas para mí y comencé a echar un vistazo a un juego en línea de un amigo, analizando su seguridad.
Sin embargo, al utilizar un formulario de autenticación observó un extraño envío de información a una dirección IP estática, que llamó la atención de Hartmann. Finalmente, descubrió que el Mozilla Sniffer había sido alterado y contenía funciones maliciosas que, mientras la extensión hacía su trabajo correcto (monitorear los paquetes durante la navegación con Firefox) detectaba cuando el usuario estaba llenando formularios y enviaba la información completa con todos los datos a la dirección del atacante.
Cabe destacar que, a pesar de lo ocurrido, el propio Hartmann destaca la rapidez de la gente de Mozilla para, unos pocos minutos después del reporte, quitar la extensión del sitio web y, además, deshabilitarlo automáticamente en aquellos usuarios que lo tenían instalado. De todas formas, si han utilizado este plugin en los últimos meses (se desconoce hace cuánto estaba modificado), es recomendable hacer una rotación de contraseñas ya que se desconoce si se ha sido víctima.