Hacker maakt gegevens 150.000 Adobe-klanten buit
Adobe heeft een website offline gehaald nadat een aanvaller via sql-injectie toegang had gekregen tot de gegevens van gebruikers. De aanvaller claimde de logingegevens van 150.000 gebruikers te kunnen benaderen. De wachtwoorden waren slecht beveiligd.
De getroffen website, ConnectUsers.com, is door Adobe inmiddels offline gehaald, hoewel op de site zelf niet is te lezen waarom. In een blog schrijft een medewerker van Adobe dat de site offline is gehaald na aanwijzingen dat deze zou zijn gehackt. Na onderzoek blijkt dat de getroffen website, een forum dat bij het softwarepakket Adobe Connect hoort, inderdaad zou zijn gehackt.
De aanvaller die de website wist te kraken, heeft eerder als bewijs een deel van de database op Pastebin gezet. In die post waren onder andere gebruikersnamen en wachtwoorden te zien. De wachtwoorden waren slecht beveiligd: ze waren gehasht met het achterhaalde md5-algoritme en bevatten geen salt. Daardoor zijn ze relatief eenvoudig te achterhalen, met behulp van zogenoemde rainbow tables. Daarbij worden wachtwoorden en hashes als in een soort telefoonboek aan elkaar gekoppeld.
De hacker zegt tegenover Dark Reading dat hij toegang had tot de gegevens van 150.000 gebruikers. Daaronder zouden onder meer medewerkers van Adobe, het Amerikaanse leger, Google, NASA en universiteiten zijn. De hacker spreekt in het interview met Dark Reading zijn zorgen uit over het naar zijn mening slechte beveiligingsbeleid van Adobe. De hack komt nog geen twee maanden nadat een certificaatserver van Adobe werd gekraakt, waardoor aanvallers hun malware met Adobe-certificaten konden ondertekenen.
Reacties (19)
http://pastebin.com/Bf9uv4hR
Geen fijne gedachte dat Adobe geen salts gebruikt, als je nou weet dat iedere week een nieuw gat in pdf en flash gevonden en misbruikt word, dan kan je toch wel bedenken dat iemand op een gegeven moment de servers aan gaat vallen?
Ik gebruik zelfs salts voor een paginatje voor de bakker op de hoek, snap echt niet dat zoveel grote bedrijven er niet aan doen, erg slecht. Kunnen we dit vanuit de EU niet gaan verplicten ofzo? als je werkt met persoonsgegevens MOET je salts gebruiken?
Ik vraag me oprecht af hoe ze deze site hebben gebouwd, want het is tegenwoordig bijna moeilijker om een site te bouwen die wél vatbaar is voor SQL-injecties. Elk framework heeft standaard query bindings om variabelen automatisch te escapen, alle databases bieden ondersteuning voor prepared statements. Bovendien is SQL-injectie zo'n bekend beveiligingsprobleem dat letterlijk elk boek, artikel of ander schrijfsel over het bouwen van webapplicaties hier een onderdeel aan wijdt. Welke webdeveloper heeft in vredesnaam zo zitten slapen dat dit allemaal aan hem is voorbijgegaan?
ConnectUsers.com bestaat sinds 2000. Het is dus ook niet zo dat dit een gloednieuwe website is waar nog wat kinderziektes inzitten, ze gebruiken dit systeem al meer dan 10 jaar. Ik neem aan dat ze in de afgelopen 12 jaar bij Adobe wel eens een update van de back-end hebben uitgevoerd. Ik kan er werkelijk waar niet bij hoe tijdens dat proces er niet is gekeken naar de beveiliging.
Schande dit, ongehoord.
Dat jij dan bij die werkgever weggaat, lost het probleem nog niet op. Sterker nog, waarschijnlijk wordt het verhaal dan dat, als de hack eenmaal gepleegd is, dat mogelijk gemaakt is door 'een prutser die daar nu niet meer werkt'.Als ik als ontwikkelaar verantwoordelijk zou zijn voor een website waarvan ik wist dat er dit soort kwalijke beveiligingslekken in zitten en ik zou niet de kans krijgen om daar wat aan te verbeteren, dan zou ik absoluut een nieuwe werkgever gaan zoeken.
Dit is waarom ik pleit voor het vrijwaren van 'hackers' wanneer zij de zaak publiekelijk maken. Dit zijn gewoon mensen die een lek aantonen. Op het moment dat je dat doet bij een externe partij wordt je opgepakt. Op het moment dat je dat doet bij je eigen bedrijf, wordt je ontslagen. In beide gevallen is het uit persoonlijke overwegingen beter om gewoon niets te doen, terwijl het wel degelijk maatschappelijk belang heeft om lekken aan de grote klok te hangen.
Zou je echt je inkomen opzeggen omdat je niet de kans kreeg je slecht beveiligde website te verbeteren waar waarschijnlijk nooit naar om werd gekeken en je het toch al te druk had met al die andere projecten waar je opzit? Zo'n opmerking als die van jou kan volgens mij niet van iemand komen die in de praktijk als programmeur aan de slag is.
Heden ten dage staan budgetten zwaar onder druk en ook daarmee de werknemer. Even een website oppakken om tegen sql injectie te beveiligen kan als er bijvoorbeeld gebruikt wordt gemaakt van een shared sql libary bijvoorbeeld. Maar vaak in oudere websites is dit maar de vraag. Zo'n refactoring is dan een tijdrovende klus en wil vaak de opdrachtgever niet voor betalen, of er is domweg de capaciteit niet voor.
als je een alternatief zoekt kan ik foxit pdf reader aanraden...
Zelf gebruik ik daarvan een oude versie die maar 1.7mb is
PDF's veranderen toch niet veel, ik heb nog nooit gehad dat ik er iets niet mee kon openen
Hier linkje, werkt perfect op win 7 X64
http://www.oldversion.com...-PDF-Reader-2.0-1516.html
Misschien bedoelde je Adobe Flash Player?
Vind ik niet ongelooflijk. Ik zie het bij mijn werkgever, een techneut die een beveiliging kwestie aankaart wordt niet serieus genomen - door een directeur die geen verstand heeft van techniek: Je verdient er (op de korte termijn) namelijk niets mee, het zijn enkel kosten. Men wordt pas bewust / er wordt pas actie ondernomen op het moment dat het fout gaat...Ongelofelijk dat er in 2012 nog steeds websites worden gehackt op deze wijze
Het feit dat het dagelijks nog gebeurd is dan ook het bewijs dat de leiding zich vaak niet bewust is van de risico's...
De realiteit is dat zolang de kans op misbruik en het risico gehalte niet hoog genoeg is er juist niets gebeurd. Tenzij het zoals hier net misbruikt is met grote gevolgen. Dan is het plots moord en brand.
Maar anders weet je wat je te horen krijgt? "Dat is een risico die we bereid zijn te nemen." (en ik citeer hier dus letterlijk)
Security kost bedrijven alleen maar geld en geeft nul return on investment dus het intresseert ze niets zo lang ze er maar geen last van hebben. En nu met de crisis al helemaal.
Waarmee ik niet wil zeggen dat security op niets trekt in de financiele sector. Echter dat heeft meer te maken met dat ze een geliefd doelwit zijn en de risicofactor vrij hoog ligt. Maar als ze kunnen besparen op security zullen ze het zeker niet laten. Is nu eenmaal hoe de bedrijven tegenwoordig werken.
Want Adobe maak producten, waarmee het web wordt gemaakt en niets is perfect.
Die sql-injectie, laten werkelijk elke molecuul in je lichaam lachen. Want dit is niet
bepaald iets NIEUWS
Kwestie van tijd dat 1 of andere skiddie ermee aan de haal gaat en je data jat.
Mei 29 eerste contact met Adobe.
Via e-mail alles uitgelegd (simpele SQLi maargoed), aangeboden het te fixen voor ze. Ze zouden het zelf wel fixen, prima toch?
Proof: http://i48.tinypic.com/xp9c2p.png
Emails: http://i47.tinypic.com/2uzdqu0.png
Schijnbaar toch niet. Jammer.
http://www.techrepublic.com/blog/security/hacker-vs-cracker/1400
We zijn hier op tweakers immers bijna allemaal hackers..
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Asus Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
