C'est un chercheur en sécurité qui participait au programme de récompense de la fondation qui s'est aperçu que celle-ci avait laissé sur un serveur public une sauvegarde d'une base de données contenant 44000 comptes utilisateur addons.mozilla.org.

Mozilla, qui joue la transparence à propos de cette boulette explique que les comptes concernés sont ceux créés avant 9 avril 2009, et seulement ceux-ci, car à partir de cette date, le cryptage MD5 des mots de passe a été remplacé par le cryptage SHA-512.

Mozilla a immédiatement détruit tous les mots de passe de ces comptes et a prévenu tous les utilisateurs concernés. Pour la fondation, les répercussion de cette fuite sont minimes et elle précise: "nous sommes en mesure de rendre compte de chaque téléchargement de cette base de données".