Adobe-Hack: Gestohlene Passwörter ohne Hashes
Der millionenfache Diebstahl von Kundendaten beim Software-Konzern Adobe könnte deutlich schlimmere Auswirkungen haben, als bisher erwartet. Denn die Passwörter waren wohl nur unzureichend geschützt.
Wie ein Sprecher des Unternehmens inzwischen bestätigte, waren die Passwörter nicht über sichere Hashes geschützt. Entsprechende Sicherheits-Technologien wurden bei Adobe zwar vor etwas über einem Jahr eingeführt, doch das entsprechend aufgerüstete Produktiv-System war gar nicht das Ziel des Angriffes, von dem Anfang Oktober erstmals berichtet wurde.
Statt dessen hatten die Angreifer Zugang zu einem Backup-System erlangt, auf dem Informationen aus der Zeit vor der Umstellung lagen, berichtete das CSO-Magazin. Auf diesem lag offenbar noch eine Datenbank, in der die Passwörter im Klartext gespeichert und anschließend per Triple DES-Verschlüsselung geschützt waren. Im Gegensatz zu salted Hashes, wie sie eigentlich schon länger Standard sind, genügt es also, wenn die Angreifer den Key zu der Verschlüsselung herausbekommen. Dies ist zwar nicht trivial, aber eben doch um ein Vielfaches einfacher, als das Brechen der Hashes.
Denn im besten Fall hätten die Angreifer quasi jedes Passwort über Brute-Force-Angriffe separat entschlüsseln müssen. Denn auch gleiche Zeichenfolgen ergeben bei salted Hashes andere Prüfsummen. Damit wäre die Entschlüsselung der ganzen Datenbank oder zumindest signifikanter Teile kaum machbar. Nun würde es allerdings reichen, ein einzigen Key herauszufinden. Ob ihnen dies bisher gelungen ist, bleibt erst einmal ungeklärt.
Die gesamte Datenbank soll laut früheren Angaben Adobes die Logins von rund 38 Millionen Accounts beinhalten. Weiterhin hatten die Angreifer weitergehende Datensätze von rund 2,9 Millionen Adobe-Kunden erbeutet. Hinzu kamen außerdem Teile der Quellcodes einer ganzen Reihe von Produkten des Software-Unternehmens.
Statt dessen hatten die Angreifer Zugang zu einem Backup-System erlangt, auf dem Informationen aus der Zeit vor der Umstellung lagen, berichtete das CSO-Magazin. Auf diesem lag offenbar noch eine Datenbank, in der die Passwörter im Klartext gespeichert und anschließend per Triple DES-Verschlüsselung geschützt waren. Im Gegensatz zu salted Hashes, wie sie eigentlich schon länger Standard sind, genügt es also, wenn die Angreifer den Key zu der Verschlüsselung herausbekommen. Dies ist zwar nicht trivial, aber eben doch um ein Vielfaches einfacher, als das Brechen der Hashes.
Denn im besten Fall hätten die Angreifer quasi jedes Passwort über Brute-Force-Angriffe separat entschlüsseln müssen. Denn auch gleiche Zeichenfolgen ergeben bei salted Hashes andere Prüfsummen. Damit wäre die Entschlüsselung der ganzen Datenbank oder zumindest signifikanter Teile kaum machbar. Nun würde es allerdings reichen, ein einzigen Key herauszufinden. Ob ihnen dies bisher gelungen ist, bleibt erst einmal ungeklärt.
Die gesamte Datenbank soll laut früheren Angaben Adobes die Logins von rund 38 Millionen Accounts beinhalten. Weiterhin hatten die Angreifer weitergehende Datensätze von rund 2,9 Millionen Adobe-Kunden erbeutet. Hinzu kamen außerdem Teile der Quellcodes einer ganzen Reihe von Produkten des Software-Unternehmens.
Thema:
Neueste Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
oSC Nürnberg 25.–27. Juni - das OpenSuse-Meeting
d-hubs - Gestern 13:40 Uhr -
Die allerneueste Version, TrueNAS 26.0.0-BETA.2
d-hubs - Vorgestern 14:50 Uhr -
Wie kann ich die Untertitel einem Video hinzufügen?
Rizo - Vorgestern 11:14 Uhr -
Datenträgerverwaltung
micro300 - Vorgestern 08:52 Uhr -
KDE kommt mit Plasma 6.7
d-hubs - 18.06. 20:26 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen