Adobe moet in VS miljoen dollar betalen voor groot datalek uit 2013

Adobe moet een bedrag van 1 miljoen dollar betalen aan vijftien Amerikaanse staten, vanwege het datalek in 2013 waarbij gegevens van 38 miljoen Adobe-accounts werden buitgemaakt. Volgens de staten waren bij het lek accounts van 552.000 inwoners betrokken.

Het bedrag dat Adobe betaalt is een schikking die voortkomt uit het onderzoek dat werd ingesteld door verschillende Amerikaanse staten, nadat het datalek bekend werd. De deelnemende staten beweerden dat Adobe niet genoeg had gedaan om de veiligheid van de klantgegevens te waarborgen.

Waarop het schikkingsbedrag van een miljoen dollar is gebaseerd, is niet bekendgemaakt. Naast het betalen van het geldbedrag zal Adobe volgens het Department of Justice uit North Carolina ook nieuw beleid invoeren om een dergelijk datalek in de toekomst te voorkomen.

In oktober 2013 maakte Adobe bekend dat hackers binnengedrongen waren op zijn servers en naast de broncode van Photoshop ook gegevens van 2,9 miljoen klanten hadden buitgemaakt. Diezelfde maand nog bleek dat het om veel meer gebruikers ging, in totaal betrof het datalek 150 miljoen Adobe-accounts, waarvan 38 miljoen actieve accounts. Later kwam naar buiten dat de gestolen wachtwoorden niet waren gehasht.

Door Julian Huijbregts

Nieuwsredacteur

Feedback • 15-11-2016 21:03 41

15-11-2016 • 21:03

41

Lees meer

Datalekkenjaar 2016

24 nov 2016

Datalekkenjaar 2016

Kiezen uit wachtwoordmanagers

220
Adobe maakt melding van datalek bij Magento Marketplace-accounts
Adobe maakt melding van datalek bij Magento Marketplace-accounts Nieuws van 28 november 2019
Ontwerpsite Canva vraagt gebruikers om een nieuw wachtwoord te kiezen na datalek
Ontwerpsite Canva vraagt gebruikers om een nieuw wachtwoord te kiezen na datalek Nieuws van 27 mei 2019
Lek in site parkeerbedrijf bij Schiphol faciliteerde diefstal gegevens en auto's
Lek in site parkeerbedrijf bij Schiphol faciliteerde diefstal gegevens en auto's Nieuws van 15 januari 2017
Gestolen wachtwoorden Adobe-gebruikers waren niet gehasht
Gestolen wachtwoorden Adobe-gebruikers waren niet gehasht Nieuws van 5 november 2013
Adobe-hack trof meer dan tien keer zoveel klanten als gedacht
Adobe-hack trof meer dan tien keer zoveel klanten als gedacht Nieuws van 29 oktober 2013
Hackers stelen klantgegevens en broncode van Adobe
Hackers stelen klantgegevens en broncode van Adobe Nieuws van 4 oktober 2013
Hacker maakt gegevens 150.000 Adobe-klanten buit
Hacker maakt gegevens 150.000 Adobe-klanten buit Nieuws van 15 november 2012
Meer producten en artikelen
Politiek en recht Adobe Rechtszaak Verenigde staten

Reacties (41)

-Moderatie-faq
41
39
24
4
0
11
Wijzig sortering

Sorteer op:

Weergave:
maplebananas 15 november 2016 22:03
Klein bedrag als je het mij vraagt, zowat alle actieve accounts zonder enige vorm van encryptie zijn buitgemaakt, had van mij wel een hogere boete mogen zijn voor zo'n groot bedrijf als Adobe.

edit: zo te lezen waren ze allemaal met slechts een key versleuteld.

[Reactie gewijzigd door maplebananas op 23 juli 2024 07:47]

royb3 @maplebananas16 november 2016 06:31
En daarnaast dacht ik dat de password hints plain text waren opgeslagen. Daardoor waren rainbow tables wel heel makkelijk op te stellen.
Splorky @maplebananas16 november 2016 17:06
Door deze grap krijg ik op adobe@[mijndomijn].nl ook nog steeds spam ( wordt netjes naar de junk account forward maar toch.

al die spam zou 0,02 dollar aan boete waard zijn, voor zo'n groot bedrijf mag wat mij part de boete wel hoger zijn.
Sando @Splorky16 november 2016 18:51
Deze grap heeft mij ook geraakt. Met de bedragen die ze rekenen vind ik dat alle gedupeerde klanten wel een jaartje CC mogen krijgen.

Als er een van-te-voren-bepaalde hoge boete staat op lekken van persoonsgegevens, bijvoorbeeld 10 dollar per persoon, wedden dat grote bedrijven dan opeens de zaken op orde hebben?
magnifor 15 november 2016 22:32
Ik vind dit nog steeds zo ironisch: wanneer je geen Adobe account had aangemaakt en een gekraakte versie van hun software had gebruikt (bijvoorbeeld photoshop) waren je gegevens niet op straat beland. Helaas ben ik slachtoffer geworden in deze zaak. Sinds 2013 is het aantal spam-mail in mijn mailbox flink toegenomen. Waar blijft de schadevergoeding voor de getroffen gebruikers?
Yarisken @magnifor15 november 2016 23:24
Beetje kort door de bocht om je spam-mail te linken aan de hack van adobe. Er zijn al duizenden databases uitgelezen door hackers.
GoJ @Yarisken16 november 2016 08:26
Ik heb mijn eigen domeinnaam die ik gebruik voor mijn email. Daar zit ook een catch-all mailbox bij. Voor mijn adobe account heb ik dan ook abobe@... gebruikt.

Sinds een paar jaar komt een groot deel van de spam binnen via dat adres.
Aangezien ik het adres nergens anders voor heb gebruikt, zie ik (in ieder geval bij mij) wel duidelijk een link tussen dit datalek en spam.
dnrb @GoJ16 november 2016 20:47
Ik doe precies hetzelfde. En helaas is Adobe niet de enige waarvan ik daardoor weet dat er een hack is geweest of mijn email adres is doorverkocht. Gelukkig heb ik geen Adobe Account. :)
magnifor @Yarisken16 november 2016 09:48
Het is heel simpel, tot 2013 niet of nauwelijks spam in mijn mailbox. Na de hack bij Adobe is het aantal spam in mijn mailbox drastisch toegenomen. Ook is mijn mailadres te vinden op https://haveibeenpwned.com bij jawel alleen Adobe. Dus tja, voor mij is het 1 + 1 = 2.
Jerie @magnifor16 november 2016 13:52
Ik zou zeggen breng een schadeclaim in bij Cb3rob (Sven Olaf Kamphuis).
Ventieldopje
@magnifor15 november 2016 23:51
Globaal is het aantal spam berichten ook gewoon toegenomen.. Beetje het zelfde als zeggen dat het een paar graden warmer is buiten sinds je buurman een nieuwe 4x4 SUV heeft gekocht.
magnifor @Ventieldopje16 november 2016 10:24
Ja zal best, wanneer ik voor de datalek van Adobe geen spam ontvang en na de lek opeens wel dan is het voor mij alles duidelijk.
Goldwing1973 @magnifor16 november 2016 00:02
Beetje raar om zo te redeneren, bij mij komt dit over alsof je warez probeert goed te praten.
Dat jouw gegevens op "straat" zijn beland is vervelend maar versnipper jij iedere brief die je krijgt en in de papierbak gooit?
Hoe geheim hou jij je email adres?
En, de "gekraakte versie", je wil niet weten hoe vaak er een logger/virus/miner er in een "crack" zit waardoor er veel meer gegevens van je op straat komen te liggen.
Ik heb een mail adres, deze gebruik ik alleen voor m'n contacten te synchroniseren tussen Outlook en m'n iPhone en heb dit mail adres nooit gebruikt, desalniettemin willen Olga, Svetlana en Nicky en weet ik veel wie nog meer mij ontmoeten via dat e-mail adres.
magnifor @Goldwing197316 november 2016 10:20
Ik hou mijn mailadres goed geheim echter verwacht ik dat mijn gegevens in goede handen zijn bij een partij als Adobe. En ja, assumption is the mother of all fuckups. Daarom heb ik inmiddels diverse maatregelen getroffen om een herhaling te voorkomen ..

En ja, brieven die ik niet meer nodig heb gaan door de versnipperaar.

Ik praat nergens "warez" goed. Feit is wel dat mijn gegevens op straat zijn beland omdat ik netjes mijn software gekocht heb. In geval van piraterij waren mijn gegevens niet op straat beland, dat is gewoon een feit. En over schadelijke software die kan meekomen wanneer je gekraakte versies gebruikt, zolang je betrouwbare bronnen gebruikt en beetje gezond verstand hebt is het risico op infectie zo goed als 0. Daarnaast heb ik altijd Security Essentials + Malwarebytes Premium + Anti-Exploit draaien om de kans op infectie voor zoveel mogelijk te verkleinen.

[Reactie gewijzigd door magnifor op 23 juli 2024 07:47]

Adlermann @magnifor16 november 2016 13:12
Wat is dan precies je schade? Onderbouw dat maar eens even :)
koku Senior Developer 15 november 2016 21:34
Goede zaak! Next is LinkedIn? Vraag me af of ook een boete in Europa volgt.

[Reactie gewijzigd door koku op 23 juli 2024 07:47]

Verwijderd @koku15 november 2016 22:00
Ik weet niet zeker of het een goede zaak is. Ik zou normaal voorop lopen om grote bedrijven op hun verantwoordelijkheden te wijzen, maar hier twijfel ik toch heel erg.

Dit kan een gevaarlijk precedent zijn. Een overheid kan bij een datalek blijkbaar dus willekeurige boetes opleggen.

Een datalek gebeurd doorgaans niet met opzet. Er kan incompetentie in het spel zijn of nalatigheid, maar het kan ook een andere oorzaak hebben. Wat als jij straks als MKB op het levensgevaarlijke internet hetzelfde overkomt? Mag dan de overheid je zomaar kaalplukken?

Ik ga uiteraard mee in de veronderstelling dat instellingen en bedrijven een grote verantwoordelijkheid hebben in het doen voorkomen van een data-lek.
Lennardnl @Verwijderd15 november 2016 22:36
Er kan in Nederland een boete (van max. 820k of 10% jaaromzet) worden uitgedeeld als gegevens niet met 'passende technische en organisatorische maatregelen' zijn beveiligd (art. 13 Jo. 66 Wbp). Wanneer persoonsgegevens enkel met een zeer zwakke beveiliging zijn beschermd, dan valt te beargumenteren dat aan die maatregelen niet is voldaan.

Wanneer er sprake is van een datalek betekent dat nog niet automatisch dat er ook sprake is van onvoldoende beschermende maatregelen (blijkt uit de Memorie van Toelichting), dus de afwezigheid van opzet speelt niet mee. Je moet de boel gewoon voldoende beveiligen en tijdig een melding indienen als er een datalek heeft plaatsgevonden. Doe je dat, dan word je niet kaalgeplukt en is er dus eigenlijk niets aan de hand. Beveilig je de gegevens echter niet goed, dan kun je wel een boete krijgen van de Autoriteit Persoonsgegevens en dat is mijns inziens ook terecht; privacy is immers een groot goed.
Bergen @Lennardnl16 november 2016 02:43
Er kan in Nederland een boete (van max. 820k of 10% jaaromzet) worden uitgedeeld als gegevens niet met 'passende technische en organisatorische maatregelen' zijn beveiligd (art. 13 Jo. 66 Wbp). Wanneer persoonsgegevens enkel met een zeer zwakke beveiliging zijn beschermd, dan valt te beargumenteren dat aan die maatregelen niet is voldaan.
Dit vind ik opvallend. Er zijn legio bedrijven (ook in Nederland) waarvan bekend is dat de wachtwoorden onversleuteld zijn opgeslagen; m.a.w. waarbij je je wachtwoord gewoon in de mail krijgt als je je wachtwoord bent vergeten. Zouden deze bedrijven dan een boete kunnen krijgen terwijl de gegevens nog niet zijn gelekt?
Black Eagle @Bergen16 november 2016 07:14
Ik hoop het, bedrijven/websites welke vergeten wachtwoorden achteraf kunnen toesturen zijn gewoon fout bezig.
kimborntobewild @Bergen16 november 2016 11:23
...waarbij je je wachtwoord gewoon in de mail krijgt als je je wachtwoord bent vergeten.
Tegenwoordig krijg je een link, zodat je je wachtwoord opnieuw kan instellen. Toch?
Lennardnl @kimborntobewild16 november 2016 13:23
Als het goed is wel ja, maar soms kom ik een website tegen waar gewoon m'n oude wachtwoord weer in staat. Gelukkig is het alweer een hele poos geleden dat het me laatstelijk overkomen is.
Lennardnl @Bergen16 november 2016 08:57
Op basis van de wettekst moet het inderdaad mogelijk zijn dat er een boete wordt opgelegd op het moment dat er nog niets gelekt is maar wel duidelijk is dat de gegevens niet adequaat zijn beschermd. Bij mijn weten gebeurt dat echter niet. De Autoriteit Persoonsgegevens zou daarvoor immers anticiperend te werk moeten gaan en zelf (eventueel op basis van meldingen) moeten onderzoeken op welke manier organisaties de gegevens verwerken.

Overigens is de Wet bescherming persoonsgegevens (Wbp) de Nederlandse implementatie van een Europese richtlijn (95/46/EG), dus de basiswetgeving om een boete op te leggen is in alle Europese landen aanwezig, al kan de hoogte van de boete en de werkwijze van de toezichthouders verschillen.
Dilkooo @Bergen16 november 2016 09:32
Welke NL bedrijven zijn dit dan? Kan je er een aantal noemen?
Bergen @Dilkooo17 november 2016 00:37
ParkMobile weet ik me in ieder geval te herinneren.

[edit]
Net nog eens geprobeerd met mijn Parkmobile-account, maar ze hebben dit veranderd; je krijgt tegenwoordig een reset-password-link. Dus duimpje omhoog voor Parkmobile. Maar begin 2014 kreeg ik nog mijn wachtwoord in plaintext van hun toegezonden na 'forgot password', toen ben ik direct geswitched naar Yellowbrick. (Mijn eerste transactie daar was feb '14, zodoende weet ik wanneer dat was...)

Dat een website een reset-password-link stuurt wil overigens natuurlijk niet zeggen dat de wachtwoorden versleuteld zijn opgeslagen. Die kunnen nog steeds best in plaintext in de database staan.

(zie ook deze tweet (niet van mij overigens) uit 2012)

Verder weet ik ze zo niet uit mijn hoofd. Maar er zijn 1,5 miljoen bedrijven in Nederland. Daar zitten vast duizenden tussen die de wachtwoorden nog gewoon met MD5 hashen of zelfs in plaintext opslaan. En dan heb ik het nog niet eens over de particuliere websites. Op http://plaintextoffenders.com/ vind je ook duizenden voorbeelden.

[Reactie gewijzigd door Bergen op 23 juli 2024 07:47]

kimborntobewild @Verwijderd16 november 2016 11:25
Ik ga uiteraard mee in de veronderstelling dat instellingen en bedrijven een grote verantwoordelijkheid hebben in het doen voorkomen van een data-lek.
Dat blijkt niet erg uit de rest van je post...
CAPSLOCK2000
15 november 2016 22:23
Complimenten aan die staten dat ze er werk van hebben gemaakt. Het gebeurt maar zelden dat nalatige beveiliging gestraft wordt. Als bedrijven niet worden afgerekend op hun beveiliging zullen ze nalatig blijven.
Nu is 1 miljoen een peulenschil voor een bedrijf als Adobe maar het is een begin.

Van de andere kant laat het ook zien hoe moeilijk IT-beveiliging is. Als een bedrijf als Adobe een kroonjuweel als de broncode van Photoshop al niet geheim kan houden, hoe ontzettend kansloos zijn kleinere organisaties, die niet zoveel geld en IT-kennis als Adobe hebben, dan wel niet. Het is om moedeloos van te worden.
marapuru @CAPSLOCK200016 november 2016 08:54
Zeker goed dat er werk van is gemaakt. Wat ik me nu wel afvraag is waar het geld heen gaat (los van, 'naar de staat'. Jij daar een idee van?
CAPSLOCK2000
@marapuru17 november 2016 10:41
Zeker goed dat er werk van is gemaakt. Wat ik me nu wel afvraag is waar het geld heen gaat (los van, 'naar de staat'. Jij daar een idee van?
Nee, maar ik denk dat je daar ook niks over kan zeggen. Dat geld gaat de grote schatkist in. Als ik mijn salaris van de baas krijg denk ik ook niet "dit biljet van 100 euro gaat naar de huur en dit briefje van 100 is voor de supermakt". Voor staten (en bedrijven) staan de inkomsten nooit vast. Ieder jaar haal je weer een ander bedrag aan belastingen en boetes op. Je weet niet precies hoeveel, maar je kan het best wel aardig voorspellen. Aan het begin van het jaar maakt zo'n staat een begroting waarin ze voorspellen dat ze dit jaar X miljoen ophalen met boetes. Welke boetes weten ze dan nog niet, maar ze gokken er op dat die wel komen. Typisch zit er ook een reserve in zo'n begroting en wat extra's die je kan doen als er geld over is.
Misschien dat er door deze boete ruimte is om een van die extra's te doen, maar het is net zo waarschijnlijk dat het geld gebruikt wordt om een gat elders in de begroting te vullen of een tegenslag te compenseren. Als er echt niks is dan gaat het geld de pot in als reserve voor volgend jaar.
Uiteindelijk gaat het geld terug naar de bovolking. Het geld dat via die boete is binnen gekomen hoeft niet meer via belasting te worden opgehaald. De belasting kan dus omlaag. Nouja, zoals ik al eerder schreef rekenen de staten er op dat die boetes komen, dat is al lang verrekend met de belasting. Het is dus niet zo dat alle burgers morgen een zak met geld terugkrijgen ;) Maar goed, uiteindelijk helpen alle beetjes.
marapuru @CAPSLOCK200017 november 2016 12:57
Oke, dat is waar. Mooi dat de staat er wat aan heeft gedaan. Maar ik vind het wel vreemd dat specifieke mensen worden benadeeld (gegevens van persoon X liggen 'op straat') en dat een koepelorganisatie (zoals de staat) het geld ervoor gaat vangen.

Hetzelfde vreemde gevoel heb ik ook bij een organisatie als BREIN. Zij leggen blijkbaar boetes op, maar het geld komt uiteindelijk niet bij de gedupeerde artiesten terecht.

Maargoed, snap dat jij daar het antwoord ook niet op hebt :)
CAPSLOCK2000
@marapuru17 november 2016 13:46
Oke, dat is waar. Mooi dat de staat er wat aan heeft gedaan. Maar ik vind het wel vreemd dat specifieke mensen worden benadeeld (gegevens van persoon X liggen 'op straat') en dat een koepelorganisatie (zoals de staat) het geld ervoor gaat vangen.
Die mensen mogen zelf ook een rechtszaak beginnen om een schadevergoeding te krijgen. Het gaat eigenlijk om het verschil tussen een boete en een vergoeding voor de geleden schade.

Als je een boete krijgt voor te hard rijden is dat niet om de schade aan het wegdek te compenseren. Het doel is straffen, niet om de schade te compenseren. Dat zou ook onwenselijk zijn, het zou namelijk betekenen dat je je niet aan de wet hoeft te houden zolang je maar kan betalen voor de schade.

Als er schade is die gecompenseerd moet worden staat dat los van de straf. Het kan zijn dat je wel gestraft wordt maar de geleden schade niet hoeft te vergoeden, bijvoorbeeld omdat er eigenlijk geen meetbare schade is (zoals bij te hard rijden). Van de andere kant kun je ook onschuldig zijn (je auto slipte over ijs op de weg) maar toch de schade moeten compenseren. Het kan ook zijn dat je zowel gestraft wordt als een schadevergoeding moet geven.
Typisch is het wel zo dat als er al een veroordeling ligt dat het heel makkelijk wort om te bewijzen dat je recht hebt op een schadevergoeding.
CupOfCoffee 15 november 2016 21:57
dat bedrag hoest adobe zo op, dus echt een straf is het niet echt toch?
Bergen @CupOfCoffee17 november 2016 01:02
Vorig jaar hadden ze een omzet van 1,2 miljard dollar en een winst van 174 miljoen dollar dus ja, dat is twee dagen winst in het putje... merken ze niks van lijkt mij.
beerse 15 november 2016 22:02
Wat ze er niet bij zetten is dat de accounts onderandere worden gebruikt voor drm in e-boeken zoals pdf en dergelijke. Sinds het lek krijg ik namelijk enorm veel spam op het adres dat ik alleen daar voor gebruik.
Verwijderd 15 november 2016 21:33
Hopelijk is de beveiliging bij Adobe nu beter.
Spacewide 15 november 2016 22:26
Ze hadden hun Mcafee crap niet mee geïnstalleerd zeker?
AuteurXtuv @PostHEX15 november 2016 21:23
"Adobe moet in VS miljoen dollar betalen" staat in de kop. Niet 'miljoenen', gaat om één miljoen, maar dat blijkt ook uit deze schrijfwijze als het goed is ;)

Het geld gaat naar de staten. Het is geen class-action lawsuit waarbij men uit is op een compensatie voor de slachtoffers, maar een onderzoek dat door de staten zelf is ingesteld.
WhatsappHack
@PostHEX15 november 2016 21:33
Dat slaat nergens op. Als je er geen getal voorzet, dan spreek je bij enkelvoud van "miljoen" en bij meervoud van "miljoenen". 2 miljoen is dan ook al meervoud, dus heeft Xtuv gelijk.

Niet zo mierencopuleren hoor. ;)
PolarBear @PostHEX15 november 2016 21:33
Je kan wel een miljoen zeggen, of één miljoen, maar twee miljoen heb je altijd een telwoord voor nodig.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq