Adobe-Hack: 2,9 Millionen Kundendaten gestohlen

Es ist wieder einmal so weit: Es gilt, Passwörter zu ändern und zu hoffen, dass man lediglich einzigartige Zugangsdaten verwendet. Adobe musste nämlich bekannt geben, dass man zum Opfer eines breit angelegten Hacks geworden ist. mehr... Hacker, Tastatur, Maus Bildquelle: Davide Restivo / Flickr Hacker, Tastatur, Maus Hacker, Tastatur, Maus Davide Restivo / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Die Passwörter waren im Klartext gespeichert? o.O
 
@karstenschilder: Ich bin Kunde der Creative Cloud und habe heute früh auch eine Email erhalten. Darin heißt es: "We recently discovered that attackers illegally entered our network. The attackers may have obtained access to your Adobe ID and encrypted Password" Also scheinen die Passwörter durchaus verschlüsselt zu sein. Jetzt stellt sich nur noch die Frage welche Verschlüsselung genutzt wurde. Ich persönlich nutze für meine Webseiten nur einen SHA-1 Hash. Wenn Adobe mit "encrypted" auch Hashing meint, dann ist es wohl theoretisch unmöglich, dass die Konten kompromitiert werden, denn die Zeit hätte sicherlich noch nicht ausgereicht um Hash-Kollisionen für die Passwörter zu finden.
 
@AnisOne: Nun ja. Es gibt verschiedene Varianten. Wenn die Passwörter selbst verschlüsselt gespeichert wurden und der Schlüssel mit entwendet wurde oder die Angreifer vorher selbst ein Konto angelegt haben, um anhand ihres Passwortes des Schlüssel zu knacken, sind die Kennwörter im Grunde Klartext. Das Speichern von Passworthashes fällt für mich nicht unter Verschlüsseln, sondern ist ein ganz anderes Verfahren. Hier kommt es dann auch wieder drauf an, ob mit oder ohne Salz, wie sicher das Ganze ist. Die Mail von Adobe interpretiere ich jedenfalls so, dass es keine Hashes gewesen sind.
 
(ACHTUNG: *Klugscheiß*) Es gibt glaub ich hier noch einiges Klarzustellen. Passwörter sollte man weder im Klartext abspeichern und auch nicht(!) verschlüsseln, denn Verschlüsselungen sind per Design dazu da wieder entschlüsselt werden zu können (wenn man den schlüssel kennt/klaut). Im Gegensatz zu Hashes (der digitale Reißwolf - unumkehrbar) Bitte gut merken Hashes (SHA1,2,MD5 & Co) sind KEINE!! Verschlüsselung sondern extrem schwer umkehrbare Prüfsummen. Wichtig beim speichern von Passwörtern um BruteForce zu erschweren ist das verwenden eines schwer errechenbaren Hashes (damit Bruteforce lange dauert) besonders geeignet sind hier bcrypt und PBKDF2 mit > 2000 iterationen (und bitte nicht SHA2,MD5 und Co). Auch sollte man die Passwörter salten damit man keiner Time-Memory Trade Off Attacke zum Opfer fällt (z.b. Rainbowtables) wenn man das alles beachtet hat und der User so schlau war ein mehr als 8 Zeichen langes nicht in einem Dictionary vorkommendes Wort zu wählen dann ist man nach aktuellem Stand der Dinge ziemlich gut dabei. ^^
 
@karstenschilder: Wo hast du das gesehen? Ich hab bei keiner einziger News zu dem Fall gesehen, dass die PWs im Klartext waren!?
 
Ich versteh' nicht, wie sowas immer wieder passieren kann. Gerade bei so einem Riesenladen wie Adobe, dem ich einfach mal unterstelle, daß dort richtige Profis am Werk sind, die sowas zuverlässig verhindern können müßten. Es muß doch möglich sein, diejenigen Server, die öffentlich für die Kunden erreichbar sein müssen, von denjenigen im Hintergrund, die die personenbezogenen Daten tragen, sauber zu trennen bzw. zu schützen! Wie läuft sowas denn?
 
@departure: Jein. In der Regel wird man davon ausgehen können, dass Server, die aus dem Internet erreichbar sind, in einer speziellen Netzwerkzone (DMZ) stehen und somit von internen und besonders schützenswerten Servern getrennt sind. Aber irgendwann muss ein Server in der DMZ in der Regel auch mal auf die internen Daten (z.B. Passwörter) zugreifen, um z.B. eine Authentifizierung eines Benutzers durchzuführen. Und genau diese Zugriffe sind die Schwachstelle. So was wird natürlich per Firewall und sonstigen Schutzmechanismen weitestgehend abgesichert, aber einen 100% Schutz gibt es bei einem System, das an einem unsicheren Netzwerk hängt, nun mal leider nicht. Es muss nur ein Fehler in dem Protokoll stecken, mit dem die Passwörter abgefragt werden, und schon kann ein Angreifer diese Schwachstelle ggf. ausnutzen. Daher ist neben Intrusion Prevention immer auch Intrusion Detection besonders wichtig, damit man solche unerlaubten Zugriffe auch frühzeitig erkennt und gleich eingreifen kann.
 
@departure: aber die antwort liegt doch auf der hand....es gibt keinen vollständigen schutz. sich darüber zu wundern hilft auch nicht weiter. man muss damit leben lernen und entsprechend konsequent agieren.
du würdest deine daten ja auch nicht in einem aktenordner lagern, der an irgendeiner hauptstraße steht. selbst wenn du zwanzig schwer bewaffnete sicherheitsleute rundherum setzt, ganz entspannt schlafen würdest du nicht. man muss einfach schauen was man in einem netzwerk macht, das einen wie unwahrscheinlich auch immer erscheinenden aber trotzdem theoretisch vorhandenen zugang zum offenen internet hat.
dazu kann z.B. eine frühe information an alle nutzer gehören, die geschädigt wurden, mit automatischen routinen zur passwortänderung etc. plus sperrung der kreditkarten und automatischer neuvergabe usw.
 
@departure: (Achtung: Spekulation) Bei dem was hier passiert ist glaub ich entweder, dass die Angreifer im System ziemlich lange Zeit hatten um sich umzusehen oder Insider beteiligt waren.
 
@wischi: DAS könnte ich mir auch vorstellen. Warum soll ein untreuer (oder gar krimineller) Adobe-Mitarbeiter nicht das gleiche können wie ein Eduard Snowden, der das immerhin beim Geheimdienst (Betonung auf "Geheim") geschafft hat. Kann leicht sein, daß die Attacke von innen kam.
 
Man muss sich schon fragen, wie unverantwortlich große Unternehmen mit ihren zahlenden Kunden umgehen. Unverschlüsselte Kundendaten, Entwenden von Kreditkartendaten... Entwenden von Quellcode? Na, wer so etwas über das Internet zugänglich hat, ist selbst schuld. Ich hoffe nur, dass eventuell geschädigte Kunden ihr Geld von Adobe zurückerstattet bekommen, immerhin ist es deren Schuld, wenn sie so vertrauensvoll mit deren Daten umgehen.
 
steht bezüglich datensicherheit etwas in den agb? kann man dagegen vorgehen und rechtliche schritte einleiten, wenn nachgewiesen ist, dass daten unzureichend gesichert wurden?
was bedeutet eigentlich "jüngst" ... 1 tag, 2, 1 woche? wann genau wurden daten entwendet und wann wurde gehandelt
 
@hjo: Dazu müsste ja erst mal ein Schaden entstanden sein bzw. nachgewiesen werden, dass der Schaden tatsächlich durch diesen Datenklau entstanden ist. Ich vermute, dass man da wenig Chancen haben wird. Und bzgl. Kreditkarten ist der Schutz bei so was recht hoch.
 
@HeadCrash: man sollte empfindliche strafen aussprechen! direkt von anfang an.... die paar nutzbaren daten sind auch schon viel wert, wenn profis am werk sind... das ganze wird zu lasch behandelt
 
Wegen sowas bin ich inzwischen dazu übergegangen für jeden Login einen eigenen Email-Alias zu erstellen den ich bei bedarf einfach sperren kann. Synthetische Passworte wären auch angebracht, aber hunderte Logins zu ändern würde vermutlich Tage dauern.
 
@Johnny Cache: Vielleicht sollte man sich auch virtuelle Kreditkarten mit einem strengen Limit für jeden Anbieter erstellen. Diese könnte man dann ohne Probleme schnell austauschen.
 
@AnisOne: Kannst du da bitte ein paar Anbieter nennen?
 
@Johnny Cache: Es gibt sehr viele Anbieter und sicherlich auch eine Menge unseriöse. Ich habe schon länger mit dem Gedanken gespielt, habe mir aber leider noch nicht die Mühe gemacht um den Markt zu durchforsten. Wenn jemand anders gute Erfahrungen mit einem Anbieter gemacht hat, dann würde ich mich freuen, wenn er seine Erfahrungen teilen würde :-)
 
@AnisOne: Ich kann mywirecard empfehlen. Habe dort eine virtuelle Mastercard und es funkitioniert bestens. Wurde bisher überall akzeptiert und der Kundenservice ist auch absolute Spitze. Aufladen kann bequem per Überweisung (hier fällt eine kleine Gebühr an) oder per Direktzahlung an einem Einzahlpunkt (z.B. Shell-Tankstellen).
 
@doubledown: Danke für den ersten Ansatz. Allerdings scheint dieser Service nur eine Nummer zu liefern, welche zudem auch noch ausschließlich per Prepaid funktioniert. Duzende Accounts zu erstellen und auf Verdacht mit Geld zu versehen ist zwar sicherer aber leider alles andere als komfortabel.
 
@Johnny Cache: Man sollte einfach Dienste, die man die nicht wirklich braucht, gar nicht erst nutzen. Fertig. Ich bin mir sicher, der Großteil ist einfach nur überflüssig. Wenn man einen großen Bogen, um den ganzen überflüssig Social-Rotz und Cloud-Blödsinn macht, wird es sehr übersichtlich mit Logins und Passwörtern.
 
lustig....einige wollen "datensicherheit" einklagen :)
die beispiele der letzten zeit zeigen so schön was man von den versprechen von anbietern von sicherheitstechnik oder politikern oder sonstigen sichheitsversprechern halten kann....nämlich nichts. eines ist immer klar, wenn jemand irgendwo einbrechen will, dann schafft er es auch. und offenbar geht das einfacher als viele immer verkünden.
die leute müssen endlich lernen das im internet nichts sicher ist. und einfach damit umgehen lernen. kritisch wird das natürlich, wenn man an cloud daten denkt, die firmengeheimnisse enthalten. hier hilft nur ein lokales backup, das man sich mit nach hause unters kopfkissen nimmt...falls man sehr sicher gehen will. oder zumindest die vermeidung von netzwerken für solche sensiblen daten. aber das wettrüsten im bereich datensicherheit führt zu nichts.
 
"außerdem konnten die Hacker den Quellcode mehrerer Adobe-Produkte entwenden" ... Suuuper, am besten der Quellcode von Flash und dem Adobe Reader, so dass deren Sicherheitslücken nun noch massiver ausgenutzt werden...
 
Die deutsche Bahn ist Schadenersatzpflichtig wenn Züge zu spät kommen, sie also zB Schludert, warum werden Unternehmen nicht Schadenersatzpflichtig wenn sie bei meinen Daten schludern?? Datenklau?? OK, 500 Euro je geklauter Adresse. Dann wird schnell in Datensicherheit investiert
 
@3.11-User: der Vergleich hinkt aber sehr ;)
 
Krass... ich habe grade vor zwei Tagen von der LBB eine Meldung wegen meiner VISA-Kreditkarte bekommen, dass dort wohl unbefugte Transaktionen durchgeführt wurden...
 
PRISM wird auch für Wirtschaftspionage von den USA verwendet und selbst wenn es nicht die NSA war, sollten die wohl auch ein Interesse an einer Unterbindung solcher Hacks haben ! Denn "angeblich" soll es doch gegen Terroristen eingesetzt werden, aber für die USA ist ein Hacker auch ein Terrorist.
 
Der nächste Warnschuss. Ist doch klar, das Hacker sich solche Unternehmen wie Adobe bevorzugt aussuchen. Cloud ist und bleibt der letzte Rotz.
 
Laut der News von Chip Online waren die Passwörter mit 256bit verschlüsselt. Zusätzlich bietet Adobe kostenlose Überwachung der Zahlungsströme an für alle Betroffenen. (Link zur Chip News: http://www.chip.de/news/Adobe-gehackt-Nutzer-Kreditkartendaten-gestohlen_64687665.html )
 
Soweit zum Thema Cloudbassierter shit
 
Da trifft es mal genau das richtig Unternehmen. Ich erinnere nur daran als man die CS2 Suite von der Aktivierung ausgenommen hat diese zum download bereitstellte und eine General-Seriel zur Verfügung stellt schnell noch den Hinweis nachschob, dass man das aber nur nutzen darf, wenn man auch eine CS2-Lizenz hat. Das fand ich arrogant und dumm. Die Umstellung auf die Clound und das Abomodell zur Gewinnmaximierung trägt ihr übriges dazu sei. Kein Mitleid.
 
@Memfis: was erwartest du, dass adobe ihre software verschenkt? wie jede andere firma ist auch adobe interessiert gute geschäfte zu machen = business as usual. sind ja keine non-profit-organisation.
 
@krusty: Mit einer acht Jahre alten Software, mit der nur noch Privatleute und Schüler / Studenten arbeiten würden die sich so ein Produkt sonnst eh nicht leisten würden? Um es deutlicher zu machen hätte man auch noch den Zusatz bringen können "nur für den privaten und nicht kommerziellen Gebrauch".

Hier gibts einen schönen Artikel zu der damaligen Geschichte: http://t3n.de/news/kostenlose-creative-suite-cs2-435520/
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles