Adobe bekræfter: Millioner af stjålne kodeord var ikke sikret godt nok

Illustration: leowolfert/Bigstock
De mange stjålne kodeord fra Adobes databaser var krypterede, men ikke sikret med hashing. Det fortæller virksomheden nu.

Modsat hvad det tidligere blev antaget, så var de stjålne kodeord fra Adobes databaser ikke hashet. Det har Adobe og flere analytikere bekræftet ifølge Infoworld.

Læs også: Alarm: 2,9 millioner Adobe-kunders personlige oplysninger stjålet

Selv om hashing anses som best practice, var de mange kodeord i stedet krypteret med 3DES-kryptering, som normalt ikke bruges til at sikre den type data.

Problemet ligger i, at det i teorien er muligt at bryde krypteringer via eksempelvis brute force-teknikker, eller hvis angriberen er i stand til at gætte krypteringsnøglen. Det skriver Infoworld, der dog understreger, at det ikke er enkelt at bryde den anvendte 3DES-kryptering. Det ændrer dog ikke på, at det går imod de traditionelle best practice-forskrifter, når det gælder optimal sikring af kodeord.

Fordelen ved at hashe kodeordene med særlige algoritmer, er, at det praktisk talt bliver umuligt at få adgang til de hashede data ved hjælp af brute force-angreb. En sikkerhed, der kun bliver større, hvis der bruges ‘salt’ sammen med hashingen, hvilket tildeler et ekstra lag af sikkerhed til det enkelte kodeord.

Adobe fortæller, at virksomheden det seneste års tid netop har benyttet sig af denne teknik sammen med hash-algoritmen SHA-256 på sine autentifikationssystemer.

Problemet var blot, at det ikke var dette nye system, hackerne angreb tilbage i oktober, men derimod et ældre backup-system, som stod til at skulle pensioneres.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
martin nyhjem

I den mail jeg fik fra Adobe skrev de, at de snarest ville sende mig et brev med oplysninger omkring hvad der skal gøres mht. bank osv. Dette har jeg stadig ikke modtaget. Overvejer om de måske har glemt at sende dem :/

"
Important Customer Security Alert
To view this message in a language other than English, please click here.

We recently discovered that attackers illegally entered our network. The attackers may have obtained access to your Adobe ID and encrypted password. We currently have no indication that there has been unauthorized activity on your account. If you have placed an order with us, information such as your name, encrypted payment card number, and card expiration date also may have been accessed. We do not believe any decrypted card numbers were removed from our systems.

To prevent unauthorized access to your account, we have reset your password. Please visit www.adobe.com/go/passwordreset to create a new password. We recommend that you also change your password on any website where you use the same user ID or password. As always, please be cautious when responding to any email seeking your personal information.

We also recommend that you monitor your account for incidents of fraud and identity theft, including regularly reviewing your account statements and monitoring credit reports. If you discover any suspicious or unusual activity on your account or suspect identity theft or fraud, you should report it immediately to your bank. You will be receiving a letter from us shortly that provides more information on this matter.

We deeply regret any inconvenience this may cause you. We value the trust of our customers and we will work aggressively to prevent these types of events from occurring in the future. If you have questions, you can learn more by visiting our Customer Alert page, which you will find here.

Adobe Customer Care
"

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize