Hackers stelen klantgegevens en broncode van Adobe

Aanvallers zijn servers van Adobe binnengedrongen en hebben versleutelde creditcardgegevens van 2,9 miljoen Adobe-klanten gestolen, evenals een onbekend aantal gebruikersnamen en versleutelde wachtwoorden. Ook is er broncode van Adobe-software buitgemaakt.

Het bedrijf heeft donderdagnacht bekendgemaakt dat aanvallers toegang hebben gekregen tot de 2,9 miljoen creditcardgegevens. Daarbij gaat het onder meer om versleutelde credit- en debitcardnummers, verloopdata en 'andere informatie over bestellingen', aldus Adobe. Als die informatie wordt ontsleuteld, is dat in veel gevallen genoeg om transacties te kunnen uitvoeren, maar volgens Adobe zijn er geen aanwijzigingen dat de aanvallers de informatie hebben kunnen ontcijferen.

Daarnaast hebben de aanvallers toegang gekregen tot een onbekend aantal Adobe ID-gebruikersnamen en -wachtwoorden. De wachtwoorden waren wel versleuteld. Getroffen klanten worden benaderd en als hun creditcardgegevens zijn gestolen, kunnen ze hulp krijgen in de vorm van een creditcard monitoring-dienst, die verdachte transacties moet opsporen.

Bovendien hebben aanvallers toegang gekregen tot broncode van Adobe Acrobat, ColdFusion, ColdFusion Builder en 'andere Adobe-producten'. Als kwaadwillenden de broncode in handen hebben, is het in theorie eenvoudiger om beveiligingsproblemen op te sporen en te misbruiken, maar volgens Adobe zijn er geen aanwijzingen dat dat daadwerkelijk is gebeurd. Het bedrijf denkt dat de diefstal van de broncode en de klantgegevens met elkaar verband houden.

De inbraak vond waarschijnlijk halverwege augustus plaats, schrijft beveiligingsjournalist Brian Krebs, die zelf onderzoek heeft gedaan naar het incident. Op 17 september begon Adobe met een intern onderzoek. Krebs vond naar eigen zeggen op een server die zou worden gebruikt door criminelen 40 gigabyte aan Adobe-broncode. De criminelen die die server gebruikten, zouden eerder bij onder meer LexisNexis hebben ingebroken.

gestolen broncode

De mappen waarin de gestolen broncode stond. Afbeelding: KrebsOnSecurity.

Door Joost Schellevis

Redacteur

04-10-2013 • 07:22

59

Submitter: SidewalkSuper

Reacties (59)

59
58
47
2
0
4
Wijzig sortering
Anoniem: 101094 4 oktober 2013 08:40
Zo'n beetje alle gebruikers van Creative Cloud zijn hier de dupe van.

Meer informatie:
http://helpx.adobe.com/x-productkb/policy-pricing/ecc.html
en hier:
http://helpx.adobe.com/x-...icing/customer-alert.html

[Reactie gewijzigd door Anoniem: 101094 op 25 juli 2024 18:35]

De mail die de gebruikers (vanmorgen) hebben ontvangen is gelijk aan de tekst op de pagina van de eerste link hierboven van p0pster.

In het kort staat daar:

1. Security breach
2. Gegevens gestolen, mogelijk ook die van jou
3. Ook creditcard gegevens
4. Waarschijnlijk geen decrypted gegevens
5. We hebben je wachtwoord gereset
6. Verander je wachtwoord op alle sites met dezelfde combinatie
7. Check voor account, money & identity theft bij je bankgegevens
8. Je krijgt meer informatie over de gang van zaken
9. Sorry sorry sorry, we gaan het beter doen in de toekomst

Dit geeft mij niet een geheel prettig gevoel, aangezien uit alles blijkt dat ze niet kunnen inschatten wat de effecten zijn. In de beste situatie is er niets aan de hand, in de meest extreme moet je bang zijn dat je credit card gegevens zijn gestolen. Dat is nogal een verschil.

Een zinnetje als: "We deeply regret any inconvenience this may cause you." slaat dus enerzijds op het veranderen van je wachtwoord, anderzijds op serieuze problemen oplossen met je bank. Uit het oogpunt van damage control is deze mail nodig, maar ik had het lekker gevonden als ze enigszins zouden differentiëren tussen verschillende scenario's en hun gebruikers.
De inbraak vond waarschijnlijk halverwege augustus plaats

Nou dan hadden ze toch wel eens eerder mogen waarschuwen / mee naar buiten mogen komen. Ruim anderhalve maand later, als ze dan toch de creditcardgegevens ontcijfert hadden dan was je rekening nu allang leeg. Persoonlijk vind ik dit aan de erg late kant...
Zelf ben ik klant van Adobe en kan vertellen dat ik zojuist pas een (rijkelijk late) reactie heb mogen ontvangen via e-mail.
We also recommend that you monitor your account for incidents of fraud and identity theft, including regularly reviewing your account statements and monitoring credit reports. If you discover any suspicious or unusual activity on your account or suspect identity theft or fraud, you should report it immediately to your bank. You will be receiving a letter from us shortly that provides more information on this matter.
Zie ook hier:
http://helpx.adobe.com/x-productkb/policy-pricing/ecc.html
en hier:
http://helpx.adobe.com/x-...icing/customer-alert.html
Ik heb nog niets ontvangen.... dus mijn gegevens stonden niet tussen die 2,9 miljoen :?

in ieder geval maar even de login wijzigen voor alle zekerheid.

[Reactie gewijzigd door TRX op 25 juli 2024 18:35]

waarschijnlijk zijn de betreffende klanten al eerder gewaarschuwd dan dat het in het nieuws is gekomen, tenminste, dat mag ik wel aannemen, anders zou het inderdaad een hele slechte zaak zijn en eigenlijk een digitale middelvinger naar de klant zijn privacy / persoonlijke gegevens.
Ik kreeg vannochtend pas een mail dat de inbraak had plaatsgevonden. Heb dus ook pas net wachtwoord kunnen aanpassen.

Dus nee, mijn account is in princiepe al die tijd kwetsbaar geweest.
Ik probeer mijn account bij Adobe te verwijderen, maar dat blijkt echt onmogelijk. Het forum staat geen login toe, en nergens zie ik een optie om mijn account op te heffen. Ook het bellen van de klantenservice gaat via een of ander vaag menu waar ik alleen een keuze kan maken uit het product. Belachelijk dat ze dit zo moeilijk maken.
Denk het niet, het lijkt mij dat Adobe op dezelfde dag een dergelijk persbericht eruit stuurt en haar gebruikers informeert. Als de gebruikers eerder waren geïnformeerd dan had dit verhaal wel via een andere weg het internet gevonden, er zal dan vast wel één van de 2,9 miljoen klanten ergens gaan klagen op een forum of een blog.

Als dit bericht vandaag naar buiten is gekomen dan neem ik aan dat de klanten ook pas vandaag zijn geïnformeerd.
de inbraak is halverwege augustus gepleegd maar misschien afgelopen nacht pas ontdenkt
Nee. Er is immers 17 september een onderzoek begonnen.
De oplossing zou dus zijn om bepaalde zaken te verspreiden over meer dan 1 server op meer dan 1 locatie. Eveneens je systeem eens onder handen laten nemen door white hat hackers ...
Die kunnen onzkeerheden uit je systeem perfect analiseren en zo eveneens dit soort grove inbreuk op de algemene privacy en zeer gevoelige gegevens zoals creditkaart en inlog informatie en in dit geval ook het hart van je inkomsten, namelijk de broncodes.
Gegevens verspreiden over meerdere machines slaat nergens op. Je wilt die data in een bruikbaar formaat hebben, dus bij elkaar (al dan niet fysiek).
Dus verspreid over meerdere serverse helpt als ze de files kopieren, maar als ze toegang hebben tot de database (die 'weet' waar alle data staat, en er ook toegang tot heeft), trekken ze een dump, en heeft het geen nut gehad dat de data verspreid door het pand lag. En verschillende locaties is helemaal onzin. Denk je dat ze inbreken met een externe HD onder hun arm, en de data kopieren ofzo? LAN/WAN/Internet betekent dat fysieke afstand alleen nut heeft om rampen te voorkomen (afbranden van 1 datacenter ofzo)

Overigens is het niet waarschijnlijk dat de broncodes en de klantgegevens op dezelfde machine stonden, dus hebben ze toegang gehad tot meerdere machines.
verspreide gegevens zijn in zo'n geval juist kwetsbaarder, omdat je ze op meerdere plaatsen kan verliezen en een ongeregelde bende hackers ff uitnodigen om zich op jouw systemen te gooien is nog een groter risico om gegevens kwijt te spelen.

Er bestaan échte beveiligingsbedrijven die je tenminste inzage geven in hun werkmethodes en ook een deftige analyse opleveren, zonder het risico van whitehatters, welke vaak enorm opportunistisch te werk gaan met een verborgen agenda.
Veel systemen hangen aan elkaar door middel van LDAP. Dat betekent een single sign-on process, lekker makkelijk voor de gebruiker. Dit betekent wel dat je als hacker dit systeem ook maar een keer binnen hoeft te komen en dan heb je ook overal toegang toe. Het is in de praktijk heel lastig ( en omslachtig) om dit anders in te richten.

Daarnaast kunnen ze ook gebruik hebben gemaakt van 0day exploits. Zeker de niet gepatchte varianten kun je als bedrijf slecht tegen wapenen. En zelfs bij 0day exploits van enkele weken geleden.. de patches moet je eerst testen, anders ligt je productie omgeving op z'n gat en daar worden klanten ook niet blij van.
Tja, totdat er weer nieuwe technieken/exploits zijn om servers te hacken.. Een server vandaag die als uiterst veilige wordt beschouwd, kan morgen als een compleet vergiet worden gezien..
Een white hacker zal je daar niet bij kunnen helpen, en verwacht echt maar wel dat een bedrijf als Adobe hun security goed op orde heeft..
Een unhackable netwerk bestaat gewoon niet en zal er ook nooit komen..
Anoniem: 145867 4 oktober 2013 07:26
Broncodes van je product is wel heftig... Maar je klantgegevens ook. De concurrentie zou deze twee zaken maar al te graag op de zwarte markt kopen.
Broncodes van je product is wel heftig... Maar je klantgegevens ook. De concurrentie zou deze twee zaken maar al te graag op de zwarte markt kopen.
Niet alleen de concurrent, maar bedenk ook dat dergelijke creditcards vaak zakelijke kaarten zijn en dus net even wat meer waard.
Meeste grote zakelijke klanten nemen een Adobe volume licentie af bij een ICT bedrijf of leverancier dit gaat gewoon via een factuur.
Maar midden- en klein-zakelijke klanten hebben ook belangrijke credit-cards.
Ja, alleen een middenbedrijf / mkb zal het gewoon via een factuur hebben aangeschaft, natuurlijk men zal niet voor 1 pc een volume licentie afnemen (is wel mogelijk met Adobe) maar de kans acht ik niet zo groot tenzij er geen goed advies is gegeven door de verkoper of automatiseerder.
Ik denk niet dat het soort bedrijven dat concurreert met Adobe het zich kan veroorloven om klantgegevens op de zwarte markt te kopen (of het zelfs zullen overwegen).

Het is eerder interessant voor duistere bedrijfjes.
"De concurrentie zou deze twee zaken maar al te graag op de zwarte markt kopen. "

Ik denk het niet.
Het is relatief makkelijk om aan te tonen dat je gebruikt maakt van een bepaalde dataset als je die set openbaar gebruikt.

Het lijkt mij veel aannemelijker dat de persoonsgegevens en creditcard gegevens voor financiele doeleinden gebruikt worden.
De broncode kan gebruikt worden om inzicht te krijgen in hoe die producten met security omgaan met het doel een gekraakte versie te releasen.

Maar concurenten hebben niet zoveel aan deze informatie in onze samenleving. Ze zouden er niet makkelijk iets mee kunnnen doen zonder weg te geven dat ze het in hun bezit hebben.
Erg laat dat ze dit naar buiten brengen, laten we hopen dat ze de klanten die getroffen zijn eerder hebben gewaarschuwd.
Nope, hebben ze niet gedaan. Kreeg pas 08:06 vanochtend een email met de mededeling dat mijn adobe id en evt cc gegevens zijn buit gemaakt. 1,5 maand na inbraak op de hoogte gebracht. Te laat wat mij betreft.
Nou, lekker is dat. Eigenlijk verbaast mij dat weer niks met 'een grote jongen' zoals Adobe. Als je kijkt hoe lang Sony er over deed om die grote hack op het PSN te melden. Ik hoop dat je geen schade hierdoor lijdt, maar dat je nog niks gemerkt heb lijkt er op te duiden dat de encryptie in ieder geval enig niveau had.
Wat nog veel erger is, is dat ik nergens een optie zie om mijn account te blokkeren dan wel te verwijderen. Het forum kan je niet op omdat er een onbekende foutmelding staat, de klantenservice is alleen bereikbaar van ma t/m vrijdag. Je kan dus momenteel geen enkele actie ondernemen om je account te verwijderen.
Het gaat om 2,9 miljoen klanten. Ik denk niet dat die allemaal hun mond hadden gehouden als ze al in augustus waren geïnformeerd. Dan was dit echt wel destijds al naar buiten gekomen.
Leuk Adobe, daar zit je met je Creative Cloud. Ik zou nu wel 2 keer nadenken voordat ik een abonnement op de Creative Cloud neem. Als ze mijn creditcard gegevens al niet kunnen beveiligen, kunnen ze de CC dan wel beveiligen................ ik twijfel eraan.
Wat een onzin, dit kan elk bedrijf overkomen, vergeet niet dat ook bv Steam gehacked is geweest (waar ondertussen toch behoorlijk wat tweakers gebruik van maken)..

Meer doen dan de gegevens encrypten is er niet bij, zolang je bij de data moet kunnen is het altijd mogelijk om het te hacken..
Jij kan het onzin vinden. Door zaken als het hacken van Steam, Adobe etc. ben ik nog steeds huiverig om voor dit soort zaken een cc nummer af te geven.

Ook al weet ik dat het vaak goed geregeld is bij cc-maatschappijen, zit ik niet op de rompslomp te wachten als een bedrijf waar ik klant bij ben mijn gegevens niet goed bewaard.
Maar dat is dus ook goed, dan gebruik je dat ding dus ook niet te snel, ofwel je gebruikt em met verstand (genoeg mensen die overal dat nummer maar invoeren ongeacht of het echt nodig is)
Ze gaan in ieder geval op 8 oktober een security release uitgeven voor Adobe Reader en Acrobat. Die laatste is onderdeel van de CC-suite.

Ookal zeggen ze hier dat er geen bekende exploits zijn voor de ontdekte lekken, geeft het wel te denken.

1. Er zijn in de gestolen bestanden aanwijzingen te vinden dat deze kwetsbaarheden bestaan.
2. Er zijn indicaties dat deze kwetsbaarheden mogelijk gebruikt gaan worden (of mogelijk geleid hebben tot de hack).
De bedrijven waar ik m'n Credit Card gebruik zijn op één hand te tellen, maar helaas is Adobe vanwege Creative Cloud er één van....
Belachelijk dat het overigens een maand duurt voordat je een mailtje hierover krijgt. Je Credit Card had inmiddels allang leeg kunnen zijn. Ik kijk vrijwel nooit op m'n Credit Card rekening en zou zoiets pas na een maand door hebben als het bedrag wordt afgeschreven van de betaalrekening.
Zelfde hier. Ik maak me er wel zorgen om hoor. Straks word mijn bankrekening geplunderd omdat Adobe zo achterlijk is geen betalings alternatief (paypal bijv.) aan te bieden :S
Ik gebruik liever een credit card dan PayPal. Toen ik een jaar geleden oid een e-book online bij Kobo kocht (omdat ze als enige e-books vanuit de regio US naar NL verkochten) kreeg ik een half uur later een telefoontje van de ING met de vraag of die betaling ook de bedoeling was. En dat terwijl de E-book iets van $8.00 was.

PayPal heeft mij nog nooit van welke transactie dan ook iets gevraagd, en boekt alles zonder problemen af.
anderen hebben liever niet dat de bank hen lastig valt daarvoor... en zijn blij als het gewoon werkt zonder gezeur.
Ben ik wel met je eens...ik snap ook niet dat je niet met een Paypal account kan betalen. Laat dat soort zaken nou gewoon over aan bedrijven die ervoor gestudeerd hebben...
Het hele verhaal over de ontdekking bij Krebs on Security.
Die link staat dus ook in het artikel zelf:
De inbraak vond waarschijnlijk halverwege augustus plaats, schrijft beveiligingsjournalist Brian Krebs,
Maar weer eens bewezen dat zelfs de grootsten niet veilig hun data kunnen opslaan/omgaan met gestolen eigendommen...
Hoezo? je zult eerst toch goed moeten uitzoeken wat er werkelijk is gebeurd voordat je het bekend kan maken..
Oef! Dit is wel waanzinnig grote faal actie van Adobe. Heb altijd gedacht dat er geen enkel bedrijf Adobe zou kunnen inhalen vanwege hun grote voorsprong op photo bewerking technologie. Als deze code op straat ligt kan deze voorsprong snel achterhaald zijn.


Tevens is de waarde van een software bedrijf zoals Adobe volledig afhankelijk van de hoeveelheid gebruikers en intulectual property(ip). (Zie bv ook Google, de waarde van google is de ip en de gebruikers.) Met deze hack haal je die twee resources gelijk onderuit in 1 keer. Uiteraard haal je Adobe niet helemaal onderuit omdat alle users locked in zijn, maar omdat andere bedrijven deze code zouden kunnen bestuderen en kopiëren, kunnen er snel veel spelers bij komen.
Het is uit dit artikel (tenminste de samenvatting van Tweakers) niet duidelijk of het ook gaat om code van Photoshop. Dat product wordt in elk geval niet expliciet genoemd. Al zou je bij 40 GB aan code het haast wel gaan denken.

Op dit item kan niet meer gereageerd worden.