Adobe: Kundendaten geklaut

Bei Adobe wurde offenbar in die Server eingebrochen. Dabei wurden Userdaten entwendet.

Zitat

Unseren Ermittlungen zufolge haben die Angreifer Zugriff auf Adobe-IDs und Kennwörter von Kunden auf unseren Systemen erlangt. Wir glauben außerdem, dass die Angreifer sich Zugriff auf verschlüsselte Kredit- und EC-Kartendaten von 2,9 Millionen Kunden verschafft haben. Zu diesen Daten gehören Kundennamen, verschlüsselte Kredit- und EC-Kartennummern, Gültigkeitsdaten und andere Informationen, die Bestellungen von Kunden betreffen. Aktuell gehen wir davon aus, dass die gestohlenen Kredit- und EC-Kartennummern nicht entschlüsselt waren.

Zusätzlich untersuchen wir den illegalen Zugriff auf den Quellcode von ColdFusion und möglicherweise auch auf den Quellcode von anderen Adobe-Produkten. Uns liegen derzeit keine Hinweise auf ein erhöhtes Risiko für ColdFusion-Kunden vor. (Quelle: Adobe)

Heise berichtet hier.

Das muß nicht notwendig ein Problem für die Nutzung von Programmen bedeuten, wohl aber eines für die Besitzer einer Adobe-ID. Das dürften die meisten hier sein Adobe sagt zwar, daß nicht alle Benutzer- und Bankdaten abgegriffen wurden, aber darauf würde ich mich nicht verlassen.

Sicherungsmaßnahmen:
1. Wer eine Adobe-ID hat, sollte das Paßwort ändern. Sofort.
2. Wer das Paßwort der Adobe-ID an einer anderen Stelle verwendet, sollte auch an allen anderen Stellen ändern. Und sich merken, daß man niemals das gleiche Paßwort zweimal verwendet.
3. Adobe kündigt für nächsten Dienstag Sicherheitsupdates an. Spielt diese ein. Benutzt dafür nicht den eingebauten Update-Mechanismus, sondern ladet das Update herunter. Falls das nicht geht, installiert die betroffenen Programme neu. Der Grund hierfür ist, daß Quellcode gestohlen wurde. Adobe hält sich bedeckt, ob ADE oder Adobe Reader betroffen sind. Also geht man auf Nummer Sicher und besorgt sich frisch kompilierte und geprüfte Programme.
4. Sollte jemand hier sein, dessen Bank- oder Kreditkartendaten bei Adobe hinterlegt sind, beobachtet eure Konten sehr genau. Adobe wird diejenigen Kunden benachrichtigen, die betroffen sind, aber ich würde auch hier auf Nummer 'Sicher gehen. Es ist derzeit nicht nötig, die Karten sperren zu lassen oder ähnliches. Sollten euch Unregelmäßigkeiten auffallen, ruft eure Bank an und laßt die Buchung rückgängig machen.

Wer ganz ängstlich ist, scannt seinen Rechner auf Viren und andere Malware. Das geht mit Desinfec't (Heise Verlag, derzeit erhältlich über das Security Sonderheft) oder allen anderen Programmen, die über einen Stick oder eine CD gestartet werden. Für den Alltag reicht ein normaler Virenscanner, aber von Zeit zu Zeit sollte man mal einen solchen Scan machen. Wer das also eine Weile nicht gemacht hat, kann diese Gelegenheit nutzen

Zitat

Der Softwarehersteller Adobe hat nach dem Hacker-Angriff vergangene Woche die Passwörter seiner Kunden zurückgesetzt. Die Kunden werden per E-Mail informiert und müssen dann über eine speziell eingerichtete Seite ein neues Passwort für ihr Nutzerkonto vergeben. Zwar seien alle entwendeten Kennwörter und persönliche Daten verschlüsselt gewesen, aber man könne nicht ausschließen, dass die Hacker darauf doch Zugriff erlangen könnten. Aus diesem Grund habe man sich zu dieser Vorsichtsmaßnahme entschlossen.

Adobe empfiehlt auch, das betroffene Passwort auf allen anderen Seiten zu verändern, auf denen es unter Umständen genutzt wurde. Da es sich bei den entwendeten Benutzernamen um E-Mail-Adressen handelt, müssen die betroffenen Nutzer jetzt unter Umständen auch mit Spam-Mails und Phishing-Versuchen rechnen. (mit Material der dpa) (Quelle: Heise)

Wundert euch also nicht, falls ihr eine Email von Adobe bekommt, obwohl ihr euer Paßwort schon geändert habt

Zitat von eLibrarian

Mein bisher so schön sauberes eMail-Account (= meine Adobe ID) wird seit dem Datenklau von Adobe täglich mit rund 20 Spam-Mails "zugemüllt"

Leider muß man inzwischen davon ausgehen, daß alle Daten irgendwann kompromittiert werden. Wo ein Trog ist, kommen die Schweine.

So recht erfreulich sind die Idioten, die ihre Adressbücher bei jedem hergelaufenen Service hochladen, wie Facebook, Google oder was-weiß-ich. Oder die Sorte, die ihre Webmail-Accounts niemals aufräumt, so daß bei einem Einbruch auch jede jemals kontaktierte Adresse kompromittiert wird.

Ich träume ja davon, daß die Leute irgendwann begreifen, daß sie nicht alleine auf der Welt sind und daß es eine Frage der Ehre ist (vom Gesetz einmal ganz abgesehen), die Daten anderer zu schützen. Aber nein, Krethi und Plethi laden fröhlich die Bilder, Realnamen und (nicht nur Email-)Adressen anderer hoch und finden sich dann auch noch schrecklich cool. Solchen Menschen wünsche ich die Krätze an den Hals - mit chronischem Fingernagelausfall.

Zitat von eLibrarian

Ob auch andere Daten weiterverwendet werden, kann ich nicht beurteilen, da ich nur die eMail-Adresse verwendet und keine Bankdaten etc. hinterlegt habe

Gut für Dich

Wenn Daten kompromittiert werden, ist es immer besser, von maximalem Schaden auszugehen. Zumindest bis das Gegenteil bewiesen wurde - also auf ewig

Zitat von eLibrarian

Mich würde natürlich interessieren, ob es auch anderen so geht, daher freue ich mich über Rückmeldungen

Bis jetzt ist bei mir zumindest nichts passiert. Allerdings habe ich auch eine Wegwerf-Adresse für die Adobe-ID benutzt. Sollte das Ding kompromittiert werden, erzeuge ich eine neue Adobe-ID und gut ist, denn die Adresse benutze ich für nichts anderes.

Das gebe ich hier mal als Tip für alle weiter Wenn ihr euch irgendwo registrieren müsst, benutzt für jeden Dienst eine andere billige Adresse. Auf diese Weise haltet ihr die Gefahr gering. Haltet außerdem die Identitäten hübsch auseinander, denn damit schützt ihr euch auch vor Datenkraken, staatlich und privatwirtschaftlich. Für solche Zwecke sind Programme wie KeePass sehr nützlich. Wenn ihr die Adresse nur für die Registrierung braucht, aber niemals Kommunikation erwartet, schaut euch mal Dienste wie 10-Minute-Mail an. Für Firefox-Nutzer gibt es Bloody Vikings.

Der Einbruch betraf "mindestens 38 Millionen" Kundendaten und "rund 2,9 Millionen [...] Kreditkartendaten". "Einen Hinweis auf illegale Aktivitäten mit den erbeuteten Daten habe es bislang nicht gegeben." Heise berichtet hier.

Schön zu wissen, daß man nicht alleine ist, eh?

Mich ärgert am meisten, daß man um die Adobe-ID nicht herumkommt, wenn man die Onleihe benutzen will. Genauer, ich ärgere mich darüber, daß man sich einem Anbieter ausliefern muß, dem man ansonsten nicht unbedingt vertrauen würde. Piepsegal, ob das jetzt Google, Adobe oder Hnzlgrmpf ist. Und dann stellt sich heraus, daß das Mißtrauen auch noch gerechtfertigt ist.

Noch schlimmer ist es, wenn man Bücher mit Adobe-DRM kauft. Dann hat man nicht einmal die Möglichkeit, eine neue ID zu machen.

Immerhin, die Flaschen, die geklaute Software aus dubiosen Quellen herunterladen, werden sich demnächst richtig ärgern. Man kann drauf warten, daß Adobe Produkte wie Photoshop angeboten werden, die so richtig gründlich mit allem möglichen Dreck verseucht sind. Eine gewisse Schadenfreude kann ich mir da schon im Voraus nicht verkneifen.

Heise berichtet:

Zitat

Beim Einbruch in die Netze von Adobe wurde auch eine Liste von 150 Millionen Nutzer-IDs und ihre verschlüsselten Passwörter entwendet. Die ersten wurden bereits geknackt. Die Passwörter waren anscheinend mit 3DES und einem geheimen Schlüssel verschlüsselt. Ohne Kenntnis dieses Schlüssels lässt sich diese Liste somit kaum dekodieren. Auch das normalerweise in solchen Fällen eingesetzte Durchprobieren von Passwörtern scheitert daran, dass man nicht weiß, womit man die Passwörter verschlüsseln muss. Und weil Adobe den Zugang zu den Konten gesperrt hat, kann man seine Vermutungen auch nicht online validieren. Das könnte höchstens der Einbrecher, wenn er neben der Liste auch den 3DES-Schlüssel entwendet hat.

Trotzdem hat ein Hacker jetzt eine Liste der häufigsten Adobe-Passwörter veröffentlicht. Erstellt hat er sie vor allem mit Hilfe der ebenfalls bekannten Passwort-Erinnerungen. Mit Tipps wie "numbers", "123..." und "1-6" kann man schon recht zuversichtlich sein, dass 123456 gemeint war. Es bleibt natürlich eine Restchance, dass man daneben liegt. Ebenfalls weit oben auf der Liste "password", "adobe123" und "qwerty" (aber wer bitte sind "daniel" und "michael", die noch beliebter als "jessica" sind?). [...](Quelle)

Ob der Schlüssel für die Paßworte ebenfalls entwendet wurde, ist noch unbekannt. Deswegen wäre es wohl zu früh zum Aufatmen. Außerdem sind die Bankdaten dadurch keineswegs sicher.

Der Schmunzelfaktor liegt in den teilweise doch echt bescheidenen Paßworten. Ein gutes Paßwort hat mindestens 16 Stellen, besteht aus Sonderzeichen, Buchstaben und Zahlen und steht nicht auf einem gelben Zettel (oder in einem "Paßworthinweis").

Immerhin: Ganz doof hat Adobe sich nicht angestellt

Wahrscheinlich Aber am unsichersten ist es während der Übertragung.

Ich gehe davon aus, daß beide Firmen vertrauenswürdig sind und daß ihr alle die Links darauf prüft, ob sie auch wirklich zu den genannten Anbietern gehen. Aber trotzdem kommt hier der obligatorische Warnhinweis

Wäre ich der Böse Bube, würde ich unter einer scheinbar vertrauenswürdigen Adresse (eine, die einer echten Antiviren-Firma etc ähnlich sieht) genau so ein Tool aufsetzen. Damit kann man dann die Karteileichen unter den geklauten Email-Adressen schnell auffinden. Selbst wenn ich mit dem Paßwort immer noch nichts anfangen kann, weiß ich doch, daß die Adresse "live" ist und kann von Spammern mehr Geld verlangen.

Und jetzt bitte keine bösen Kommentare über meine schmutzige Phantasie

Der Test ist auch nicht wirklich nötig. Wer eine Adobe-ID hat, sollte sicherheitshalber davon ausgehen, betroffen zu sein.