Adobe postihl rozsáhlý únik jak údajů o zákaznících, tak zdrojového kódu

Ze serverů Adobe byly ukradeny údaje o téměř třech milionech zákazníků, ale také zdrojové kódy Acrobatu, Readeru, ColdFusion a dalších programů.

Firma Hold Security provozuje mimo jiné sledování „hlubokého webu“ — nedostupného běžným vyhledávačům, zato obývaného internetovým podsvětím. Patrně díky tomuto programu narazil před týdnem nezávislý výzkumník Brian Krebs spolu s Alexem Holdenem, zakladatelem Hold Security, na více než 40 GB zašifrovaných archivů se zdrojáky k různému softwaru od Adobe, jako je Acrobat, Reader nebo webový server ColdFusion.

Zdrojové kódy mohou mít pro zločince obrovský význam. Jejich prozkoumáním lze objevit ještě neznámé bezpečnostní zranitelnosti. Ironií však je, že i útok proti Adobe se možná uskutečnil skrze díry už opravené, protože někde neběžel nejnovější software. Přinejmenším to naznačuje mlhavé přiznání šéfa bezpečnosti Adobe, Brada Arkina, v závěru článku na KrebsonSecurity.com.

Když se Holden s Krebsem obrátili se svým objevem na Adobe, dozvěděli se, že v Adobe se už od 17. září vyšetřovaly stopy po průniku, a to na jeden ze serverů, který zpracovával online platby od zákazníků.

Adobe výzkumníkům potvrdilo pravost nalezených zdrojáků, a soudí, že nález souvisí s objeveným průnikem, že ke zdrojovým kódům se útočníci dostali v důsledku prolomení serveru zpracovávajícího platby. K tomu přitom došlo patrně už v polovině srpna!

Kromě dalšího vyšetřování a posilování bezpečnosti nyní Adobe prochází uniklé zdrojové kódy a prověřuje je, včetně třeba nesrovnalostí v zápisech do kódového úložiště.

Už předem ohlásilo, že v úterý 8. října vydá záplaty opravující kritické zranitelnosti.

Uniklé údaje o zákaznících

Adobe oznámilo, že má za to, že útočníci se dostali k údajům o téměř třech milionech zákazníků, a to patrně k jejich osobním údajům z objednávek, dále k zákaznickým ID a k heslům k nim v podobě „zašifrované“ (nejspíše mají na mysli hash). Dále k údajům z platebních karet, přitom čísla karet byla rovněž zašifrovaná. Adobe věří, že neunikla čísla karet nebo hesla v podobě čisté.

EBF16

Adobe všechny postižené obesílá a pro jistotu jim mění hesla (a nabádá ke změně i jinde, jestliže jste užívali stejného hesla na více místech). Také uvědomilo banky nebo vydavatele dotčených karet o zvýšeném riziku podvodných převodů. Na vyšetřování spolupracuje s federálními úřady.

Jako zákazník Adobe se obraťte například sem.

3 názory Vstoupit do diskuse
poslední názor přidán 19. 11. 2013 4:53

Školení Jak vytvořit rychle jednoduchý web

  •  
    Jak mít na Internetu blog.
  • Jak si založit web na Wordpressu.
  • Jak pokračovat v jeho provozování.

Detailní informace o školení Jak vytvořit rychle jednoduchý web »