Říjnovým únikem hesel k účtům Adobe může být postiženo 150 milionů účtů

14. 11. 2013

Sdílet

 Autor: Redakce

V říjnu došlo k tragédii na serverech Adobe. Jakkoli měla služba Creative Cloud slušně našlápnuto, pověst v očích zákazníků byla nenávratně pošramocena. Dopad mohou pocítit i další cloudové služby. Nelze se divit, že důvěra klesá, když byly ukradeny údaje o 2,9 milionu zákazníků. Patřily k nim také informace o platebních kartách, byť byly zašifrovávány. Bez úhony není ani Adobe, neboť útočníci si odnesli zdrojové kódy aplikací, např. Adobe Acrobat nebo ColdFusion.

Společnost vyzvala uživatele ke změně hesel, to nicméně již nevyrve útočníkům z rukou ukradené údaje. Původní hlášení o necelých třech milionech zákazníků je navíc hodně skromné. Společnost později přiznala, že by mohlo být postiženo dokonce 38 milionů aktivních účtů. A co víc, Brian Krebs provedl zkoumání dat, která se objevila na síti. Jeho výzkum naznačuje, že se na internetu volně povaluje databáze s hesly k více než 150 milionům účtů.

 

Adobe tvrdí, že u postižených účtů nezaznamenalo žádnou podezřelou aktivitu. Následky internet pozoruje dodnes. Facebook začal některé uživatele upozorňovat, aby si změnili heslo. Vyzváni budete, pokud používáte stejný e‑mail a heslo k přihlášení jak k Facebooku, tak ke službám Adobe. Provozovatel sociální sítě ukradená data prochází také. Ten se běžně se snaží chránit uživatele také před problémy, které způsobí třetí strany.

Facebook neukládá hesla v čitelné podobě. Stačí mu porovnat hashe. Musel jen mít přístup k uniklým heslům ze serverů Adobe. Navíc pouze vyhledal shodná hesla, která uživatelé kromě stejné e‑mailové adresy používají k přihlášení na sociální síť a k účtu Adobe.

V dnešní době je všechno propojené, takže taková činnost není zrovna divná nebo nežádoucí. Právě naopak. Schytala Adobe moc ran? Obratem dostala další. Podle expertů firma k šifrování dat použila jediný klíč. Když ho prolomíte, máte přístup ke všem uniklým údajům. To už je čistě lajdáckost Adobe. Samotné hacky serverů tak ojedinělé nejsou.

Potýkala se s nimi např. také Sony v souvislosti s online službou PlayStation Network. Paul Ducklin ze společnosti Sophos popsal, jak bylo snadné získat velkou část z ukradených šifrovaných hesel. Pouze data porovnal s jinými udatnými daty, eventuálně se podíval na nápovědu k heslu, uloženou ve vyrovnávací paměti účtu Adobe. Kromě Facebooku výzvy ke změně hesla posílají jiné služby, mj. Diapers.com a Soap.com.

ICTS24

Facebook některé uživatele vyzývá ke změně heslaFacebook některé uživatele vyzývá ke změně hesla | Foto: Krebs on Security

via Neowin