Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 41 reacties

Adobe moet een bedrag van 1 miljoen dollar betalen aan vijftien Amerikaanse staten, vanwege het datalek in 2013 waarbij gegevens van 38 miljoen Adobe-accounts werden buitgemaakt. Volgens de staten waren bij het lek accounts van 552.000 inwoners betrokken.

Het bedrag dat Adobe betaalt is een schikking die voortkomt uit het onderzoek dat werd ingesteld door verschillende Amerikaanse staten, nadat het datalek bekend werd. De deelnemende staten beweerden dat Adobe niet genoeg had gedaan om de veiligheid van de klantgegevens te waarborgen.

Waarop het schikkingsbedrag van een miljoen dollar is gebaseerd, is niet bekendgemaakt. Naast het betalen van het geldbedrag zal Adobe volgens het Department of Justice uit North Carolina ook nieuw beleid invoeren om een dergelijk datalek in de toekomst te voorkomen.

In oktober 2013 maakte Adobe bekend dat hackers binnengedrongen waren op zijn servers en naast de broncode van Photoshop ook gegevens van 2,9 miljoen klanten hadden buitgemaakt. Diezelfde maand nog bleek dat het om veel meer gebruikers ging, in totaal betrof het datalek 150 miljoen Adobe-accounts, waarvan 38 miljoen actieve accounts. Later kwam naar buiten dat de gestolen wachtwoorden niet waren gehasht.

Moderatie-faq Wijzig weergave

Reacties (41)

Klein bedrag als je het mij vraagt, zowat alle actieve accounts zonder enige vorm van encryptie zijn buitgemaakt, had van mij wel een hogere boete mogen zijn voor zo'n groot bedrijf als Adobe.

edit: zo te lezen waren ze allemaal met slechts een key versleuteld.

[Reactie gewijzigd door maplebananas op 15 november 2016 22:05]

En daarnaast dacht ik dat de password hints plain text waren opgeslagen. Daardoor waren rainbow tables wel heel makkelijk op te stellen.
Door deze grap krijg ik op adobe@[mijndomijn].nl ook nog steeds spam ( wordt netjes naar de junk account forward maar toch.

al die spam zou 0,02 dollar aan boete waard zijn, voor zo'n groot bedrijf mag wat mij part de boete wel hoger zijn.
Deze grap heeft mij ook geraakt. Met de bedragen die ze rekenen vind ik dat alle gedupeerde klanten wel een jaartje CC mogen krijgen.

Als er een van-te-voren-bepaalde hoge boete staat op lekken van persoonsgegevens, bijvoorbeeld 10 dollar per persoon, wedden dat grote bedrijven dan opeens de zaken op orde hebben?
Ik vind dit nog steeds zo ironisch: wanneer je geen Adobe account had aangemaakt en een gekraakte versie van hun software had gebruikt (bijvoorbeeld photoshop) waren je gegevens niet op straat beland. Helaas ben ik slachtoffer geworden in deze zaak. Sinds 2013 is het aantal spam-mail in mijn mailbox flink toegenomen. Waar blijft de schadevergoeding voor de getroffen gebruikers?
Beetje kort door de bocht om je spam-mail te linken aan de hack van adobe. Er zijn al duizenden databases uitgelezen door hackers.
Ik heb mijn eigen domeinnaam die ik gebruik voor mijn email. Daar zit ook een catch-all mailbox bij. Voor mijn adobe account heb ik dan ook abobe@... gebruikt.

Sinds een paar jaar komt een groot deel van de spam binnen via dat adres.
Aangezien ik het adres nergens anders voor heb gebruikt, zie ik (in ieder geval bij mij) wel duidelijk een link tussen dit datalek en spam.
Ik doe precies hetzelfde. En helaas is Adobe niet de enige waarvan ik daardoor weet dat er een hack is geweest of mijn email adres is doorverkocht. Gelukkig heb ik geen Adobe Account. :)
Het is heel simpel, tot 2013 niet of nauwelijks spam in mijn mailbox. Na de hack bij Adobe is het aantal spam in mijn mailbox drastisch toegenomen. Ook is mijn mailadres te vinden op https://haveibeenpwned.com bij jawel alleen Adobe. Dus tja, voor mij is het 1 + 1 = 2.
Ik zou zeggen breng een schadeclaim in bij Cb3rob (Sven Olaf Kamphuis).
Globaal is het aantal spam berichten ook gewoon toegenomen.. Beetje het zelfde als zeggen dat het een paar graden warmer is buiten sinds je buurman een nieuwe 4x4 SUV heeft gekocht.
Ja zal best, wanneer ik voor de datalek van Adobe geen spam ontvang en na de lek opeens wel dan is het voor mij alles duidelijk.
Beetje raar om zo te redeneren, bij mij komt dit over alsof je warez probeert goed te praten.
Dat jouw gegevens op "straat" zijn beland is vervelend maar versnipper jij iedere brief die je krijgt en in de papierbak gooit?
Hoe geheim hou jij je email adres?
En, de "gekraakte versie", je wil niet weten hoe vaak er een logger/virus/miner er in een "crack" zit waardoor er veel meer gegevens van je op straat komen te liggen.
Ik heb een mail adres, deze gebruik ik alleen voor m'n contacten te synchroniseren tussen Outlook en m'n iPhone en heb dit mail adres nooit gebruikt, desalniettemin willen Olga, Svetlana en Nicky en weet ik veel wie nog meer mij ontmoeten via dat e-mail adres.
Ik hou mijn mailadres goed geheim echter verwacht ik dat mijn gegevens in goede handen zijn bij een partij als Adobe. En ja, assumption is the mother of all fuckups. Daarom heb ik inmiddels diverse maatregelen getroffen om een herhaling te voorkomen ..

En ja, brieven die ik niet meer nodig heb gaan door de versnipperaar.

Ik praat nergens "warez" goed. Feit is wel dat mijn gegevens op straat zijn beland omdat ik netjes mijn software gekocht heb. In geval van piraterij waren mijn gegevens niet op straat beland, dat is gewoon een feit. En over schadelijke software die kan meekomen wanneer je gekraakte versies gebruikt, zolang je betrouwbare bronnen gebruikt en beetje gezond verstand hebt is het risico op infectie zo goed als 0. Daarnaast heb ik altijd Security Essentials + Malwarebytes Premium + Anti-Exploit draaien om de kans op infectie voor zoveel mogelijk te verkleinen.

[Reactie gewijzigd door magnifor op 16 november 2016 10:29]

Wat is dan precies je schade? Onderbouw dat maar eens even :)
Goede zaak! Next is LinkedIn? Vraag me af of ook een boete in Europa volgt.

[Reactie gewijzigd door koku op 15 november 2016 21:35]

Ik weet niet zeker of het een goede zaak is. Ik zou normaal voorop lopen om grote bedrijven op hun verantwoordelijkheden te wijzen, maar hier twijfel ik toch heel erg.

Dit kan een gevaarlijk precedent zijn. Een overheid kan bij een datalek blijkbaar dus willekeurige boetes opleggen.

Een datalek gebeurd doorgaans niet met opzet. Er kan incompetentie in het spel zijn of nalatigheid, maar het kan ook een andere oorzaak hebben. Wat als jij straks als MKB op het levensgevaarlijke internet hetzelfde overkomt? Mag dan de overheid je zomaar kaalplukken?

Ik ga uiteraard mee in de veronderstelling dat instellingen en bedrijven een grote verantwoordelijkheid hebben in het doen voorkomen van een data-lek.
Er kan in Nederland een boete (van max. 820k of 10% jaaromzet) worden uitgedeeld als gegevens niet met 'passende technische en organisatorische maatregelen' zijn beveiligd (art. 13 Jo. 66 Wbp). Wanneer persoonsgegevens enkel met een zeer zwakke beveiliging zijn beschermd, dan valt te beargumenteren dat aan die maatregelen niet is voldaan.

Wanneer er sprake is van een datalek betekent dat nog niet automatisch dat er ook sprake is van onvoldoende beschermende maatregelen (blijkt uit de Memorie van Toelichting), dus de afwezigheid van opzet speelt niet mee. Je moet de boel gewoon voldoende beveiligen en tijdig een melding indienen als er een datalek heeft plaatsgevonden. Doe je dat, dan word je niet kaalgeplukt en is er dus eigenlijk niets aan de hand. Beveilig je de gegevens echter niet goed, dan kun je wel een boete krijgen van de Autoriteit Persoonsgegevens en dat is mijns inziens ook terecht; privacy is immers een groot goed.
Er kan in Nederland een boete (van max. 820k of 10% jaaromzet) worden uitgedeeld als gegevens niet met 'passende technische en organisatorische maatregelen' zijn beveiligd (art. 13 Jo. 66 Wbp). Wanneer persoonsgegevens enkel met een zeer zwakke beveiliging zijn beschermd, dan valt te beargumenteren dat aan die maatregelen niet is voldaan.
Dit vind ik opvallend. Er zijn legio bedrijven (ook in Nederland) waarvan bekend is dat de wachtwoorden onversleuteld zijn opgeslagen; m.a.w. waarbij je je wachtwoord gewoon in de mail krijgt als je je wachtwoord bent vergeten. Zouden deze bedrijven dan een boete kunnen krijgen terwijl de gegevens nog niet zijn gelekt?
Ik hoop het, bedrijven/websites welke vergeten wachtwoorden achteraf kunnen toesturen zijn gewoon fout bezig.
...waarbij je je wachtwoord gewoon in de mail krijgt als je je wachtwoord bent vergeten.
Tegenwoordig krijg je een link, zodat je je wachtwoord opnieuw kan instellen. Toch?
Als het goed is wel ja, maar soms kom ik een website tegen waar gewoon m'n oude wachtwoord weer in staat. Gelukkig is het alweer een hele poos geleden dat het me laatstelijk overkomen is.
Op basis van de wettekst moet het inderdaad mogelijk zijn dat er een boete wordt opgelegd op het moment dat er nog niets gelekt is maar wel duidelijk is dat de gegevens niet adequaat zijn beschermd. Bij mijn weten gebeurt dat echter niet. De Autoriteit Persoonsgegevens zou daarvoor immers anticiperend te werk moeten gaan en zelf (eventueel op basis van meldingen) moeten onderzoeken op welke manier organisaties de gegevens verwerken.

Overigens is de Wet bescherming persoonsgegevens (Wbp) de Nederlandse implementatie van een Europese richtlijn (95/46/EG), dus de basiswetgeving om een boete op te leggen is in alle Europese landen aanwezig, al kan de hoogte van de boete en de werkwijze van de toezichthouders verschillen.
Welke NL bedrijven zijn dit dan? Kan je er een aantal noemen?
ParkMobile weet ik me in ieder geval te herinneren.

[edit]
Net nog eens geprobeerd met mijn Parkmobile-account, maar ze hebben dit veranderd; je krijgt tegenwoordig een reset-password-link. Dus duimpje omhoog voor Parkmobile. Maar begin 2014 kreeg ik nog mijn wachtwoord in plaintext van hun toegezonden na 'forgot password', toen ben ik direct geswitched naar Yellowbrick. (Mijn eerste transactie daar was feb '14, zodoende weet ik wanneer dat was...)

Dat een website een reset-password-link stuurt wil overigens natuurlijk niet zeggen dat de wachtwoorden versleuteld zijn opgeslagen. Die kunnen nog steeds best in plaintext in de database staan.

(zie ook deze tweet (niet van mij overigens) uit 2012)

Verder weet ik ze zo niet uit mijn hoofd. Maar er zijn 1,5 miljoen bedrijven in Nederland. Daar zitten vast duizenden tussen die de wachtwoorden nog gewoon met MD5 hashen of zelfs in plaintext opslaan. En dan heb ik het nog niet eens over de particuliere websites. Op http://plaintextoffenders.com/ vind je ook duizenden voorbeelden.

[Reactie gewijzigd door Bergen op 17 november 2016 01:03]

Ik ga uiteraard mee in de veronderstelling dat instellingen en bedrijven een grote verantwoordelijkheid hebben in het doen voorkomen van een data-lek.
Dat blijkt niet erg uit de rest van je post...
Complimenten aan die staten dat ze er werk van hebben gemaakt. Het gebeurt maar zelden dat nalatige beveiliging gestraft wordt. Als bedrijven niet worden afgerekend op hun beveiliging zullen ze nalatig blijven.
Nu is 1 miljoen een peulenschil voor een bedrijf als Adobe maar het is een begin.

Van de andere kant laat het ook zien hoe moeilijk IT-beveiliging is. Als een bedrijf als Adobe een kroonjuweel als de broncode van Photoshop al niet geheim kan houden, hoe ontzettend kansloos zijn kleinere organisaties, die niet zoveel geld en IT-kennis als Adobe hebben, dan wel niet. Het is om moedeloos van te worden.
Zeker goed dat er werk van is gemaakt. Wat ik me nu wel afvraag is waar het geld heen gaat (los van, 'naar de staat'. Jij daar een idee van?
Zeker goed dat er werk van is gemaakt. Wat ik me nu wel afvraag is waar het geld heen gaat (los van, 'naar de staat'. Jij daar een idee van?
Nee, maar ik denk dat je daar ook niks over kan zeggen. Dat geld gaat de grote schatkist in. Als ik mijn salaris van de baas krijg denk ik ook niet "dit biljet van 100 euro gaat naar de huur en dit briefje van 100 is voor de supermakt". Voor staten (en bedrijven) staan de inkomsten nooit vast. Ieder jaar haal je weer een ander bedrag aan belastingen en boetes op. Je weet niet precies hoeveel, maar je kan het best wel aardig voorspellen. Aan het begin van het jaar maakt zo'n staat een begroting waarin ze voorspellen dat ze dit jaar X miljoen ophalen met boetes. Welke boetes weten ze dan nog niet, maar ze gokken er op dat die wel komen. Typisch zit er ook een reserve in zo'n begroting en wat extra's die je kan doen als er geld over is.
Misschien dat er door deze boete ruimte is om een van die extra's te doen, maar het is net zo waarschijnlijk dat het geld gebruikt wordt om een gat elders in de begroting te vullen of een tegenslag te compenseren. Als er echt niks is dan gaat het geld de pot in als reserve voor volgend jaar.
Uiteindelijk gaat het geld terug naar de bovolking. Het geld dat via die boete is binnen gekomen hoeft niet meer via belasting te worden opgehaald. De belasting kan dus omlaag. Nouja, zoals ik al eerder schreef rekenen de staten er op dat die boetes komen, dat is al lang verrekend met de belasting. Het is dus niet zo dat alle burgers morgen een zak met geld terugkrijgen ;) Maar goed, uiteindelijk helpen alle beetjes.
Oke, dat is waar. Mooi dat de staat er wat aan heeft gedaan. Maar ik vind het wel vreemd dat specifieke mensen worden benadeeld (gegevens van persoon X liggen 'op straat') en dat een koepelorganisatie (zoals de staat) het geld ervoor gaat vangen.

Hetzelfde vreemde gevoel heb ik ook bij een organisatie als BREIN. Zij leggen blijkbaar boetes op, maar het geld komt uiteindelijk niet bij de gedupeerde artiesten terecht.

Maargoed, snap dat jij daar het antwoord ook niet op hebt :)
Oke, dat is waar. Mooi dat de staat er wat aan heeft gedaan. Maar ik vind het wel vreemd dat specifieke mensen worden benadeeld (gegevens van persoon X liggen 'op straat') en dat een koepelorganisatie (zoals de staat) het geld ervoor gaat vangen.
Die mensen mogen zelf ook een rechtszaak beginnen om een schadevergoeding te krijgen. Het gaat eigenlijk om het verschil tussen een boete en een vergoeding voor de geleden schade.

Als je een boete krijgt voor te hard rijden is dat niet om de schade aan het wegdek te compenseren. Het doel is straffen, niet om de schade te compenseren. Dat zou ook onwenselijk zijn, het zou namelijk betekenen dat je je niet aan de wet hoeft te houden zolang je maar kan betalen voor de schade.

Als er schade is die gecompenseerd moet worden staat dat los van de straf. Het kan zijn dat je wel gestraft wordt maar de geleden schade niet hoeft te vergoeden, bijvoorbeeld omdat er eigenlijk geen meetbare schade is (zoals bij te hard rijden). Van de andere kant kun je ook onschuldig zijn (je auto slipte over ijs op de weg) maar toch de schade moeten compenseren. Het kan ook zijn dat je zowel gestraft wordt als een schadevergoeding moet geven.
Typisch is het wel zo dat als er al een veroordeling ligt dat het heel makkelijk wort om te bewijzen dat je recht hebt op een schadevergoeding.
dat bedrag hoest adobe zo op, dus echt een straf is het niet echt toch?
Vorig jaar hadden ze een omzet van 1,2 miljard dollar en een winst van 174 miljoen dollar dus ja, dat is twee dagen winst in het putje... merken ze niks van lijkt mij.
Wat ze er niet bij zetten is dat de accounts onderandere worden gebruikt voor drm in e-boeken zoals pdf en dergelijke. Sinds het lek krijg ik namelijk enorm veel spam op het adres dat ik alleen daar voor gebruik.
Hopelijk is de beveiliging bij Adobe nu beter.
Ze hadden hun Mcafee crap niet mee geïnstalleerd zeker?
"Adobe moet in VS miljoen dollar betalen" staat in de kop. Niet 'miljoenen', gaat om één miljoen, maar dat blijkt ook uit deze schrijfwijze als het goed is ;)

Het geld gaat naar de staten. Het is geen class-action lawsuit waarbij men uit is op een compensatie voor de slachtoffers, maar een onderzoek dat door de staten zelf is ingesteld.
Dat slaat nergens op. Als je er geen getal voorzet, dan spreek je bij enkelvoud van "miljoen" en bij meervoud van "miljoenen". 2 miljoen is dan ook al meervoud, dus heeft Xtuv gelijk.

Niet zo mierencopuleren hoor. ;)
Je kan wel een miljoen zeggen, of één miljoen, maar twee miljoen heb je altijd een telwoord voor nodig.


Om te kunnen reageren moet je ingelogd zijn



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True