Es waren als รผber 2,9 Millionen Kundendaten inkl. verschlรผsselter Passwรถrter, Kreditkarten- und Bankdaten, Laufzeiten der Abos, Namen und E-Mail Adressen. Der Angriff erfolgte dabei wohl schon im August 2013 und wurde jetzt nach „Routineรผberprรผfungen“ entdeckt.
Adobe tritt nach eigenen Angaben nun mit den Kunden in Verbindung, deren Daten von diesem Hacker-Angriff betroffen sind. Auรerdem will man sich mit Banken in Verbindung setzen, die dann besonderes Augenmerk auf ungewรถhnliche Abbuchungen etc. werfen sollen – wie das auch immer gehen mag.
Alle Nutzer haben eine Aufforderung zur รnderung des Passworts bekommen, wobei der Server wohl zeitweise etwas รผberfordert war. Sehr seltsam war auch die Funktion, die nach der Eingabe seiner korrekten E-Mail Adresse mit einem Gegenvorschlag kam: „Meinten Sie vielleicht …“
Etwas bedenklich sollte dieser Satz aus der offiziellen Pressemitteilung stimmen: „At this time, we do not believe the attackers removed decrypted credit or debit card numbers from our systems.“
Sie „glauben“ also nicht, dass entschlรผsselte Bankdaten entwendet worden sind.
Der entwendete Quellcode
Neben den Kundendaten wurde auch noch der Quellcode div. Adobe Programme abgefasst. Darunter befindet sich nach bisherigen Angaben der von der Server-Software ColdFusion sowie der von Acrobat. Adobe spricht von „weiteren Anwendungen“ ohne das aber genauer zu spezifizieren.
Das ist insofern bedenklich, weil sich damit gezielt Schwachstellen in der Software ausmachen und fรผr weitere Angriffe nutzbar machen lassen.
Kleiner Scherz am Rande: Vielleicht haben sie ja auch den Quellcode von Photoshop mitgehen lassen und es gibt bald eine OpenSource- oder Linux-Version davon ๐ Den Quellcode des Flash-Players kรถnnen sie gleich behalten und im Wald vergraben.
Man muss sich aber auch fragen, wie 40 GB an Daten so einfach heruntergeladen werden konnten.
Der Fall in der Presse
Leider trug die Presse nicht unbedingt zur Klรคrung bei. Die meisten Radio- und Fernsehsender wurden nicht mรผde, Adobe als Hersteller des Acrobat Readers vorzustellen, was aber erst einmal gar keine Rolle spielt.
Nun setzte aber bei Lieschen Mรผller wieder der Verstand aus und der Panikmodus wurde aktiviert. „Acrobat Reader? Ist das nicht das, mit dem ich diese PDF-Dokumente anschauen muss? Dann bin ich ja betroffen!“
Um den Acrobat Reader nutzen zu kรถnnen benรถtigt man aber weder Kreditkarte noch ein Benutzerkonto bei Adobe. Betroffen sind ja nur diejenigen, die schon einmal etwas direkt bei Adobe online gekauft oder abonniert haben und das sind seit Einfรผhrung der Creative Cloud eine ganze Menge Leute.
Die Medien hรคtten gut daran getan die Situation etwas zu entschรคrfen und darauf hinzuweisen, das nur Adobe Online-Kunden davon betroffen sein kรถnnen. Aber naja.
Meine Meinung
Hackerangriffe sind eine Sache, von der jede Firma betroffen sein kann. Mit entsprechenden Sicherheitsvorkehrungen sollte aber so ein Angriff glimpflich enden. Dass man gerade bei einer der grรถรten Software-Firmen der Welt, die mit ColdFusion auch noch eine Software fรผr den Betrieb von Webanwendungen und Datenbank-Applikationen (um es vereinfacht auszudrรผcken) anbietet sich nicht sicher ist, dass die sensiblen Kundendaten auch tatsรคchlich verschlรผsselt bleiben, ist mehr als bedenklich.
Sog. mehrfach gesalzenen und gehashte Passwรถrterย sollten zum Standard gehรถren und Entwicklungsserver sollten erst gar nicht aus dem Internet erreichbar sein.
Adobe verspielt mit unverstรคndlichen Geschรคftmodellen, wie dem Zwang zur Creative Cloud und deren sehr seltsame Preis- und Nutzungspolitk, auch das letzte Kundenvertrauen. Noch schlimmer ist aber die Arroganz die der Software-Riese damit an den Tag legt. Ein Fall wieder jetzige Hackerangriff kann dann selbst fรผr einen Software-Riesen richtig gefรคhrlich werden. Noch ist Adobe ein Monopolist ohne wirkliche Alternative (sorry, Gimp, Corel etc. zรคhlen im professionellen Bereich nicht), der mit Photoshop, Illustrator, Acrobat, Indesign und After Effects einen Standard geschaffen hat. Jetzt sollte man sich schleunigst neu orientieren und den verunsicherten Kunden zeigen, dass sie wichtiger sind als der Shareholder Value.
Gespannt bin ich auรerdem wie man Neukunden nach diesem Zwischenfall fรผr das Abo-Modell begeistern will …
Was meint ihr?
Ich bin mit CS 5.5 eingestigen und habe seitdem kein Update mehr mitgemacht, weil ich keine Cloud Dienste nutzen mรถchte. Auf dem Boden bin ich fรผr meine eigene Datensicherung verantwortlich, wenn dort etwas nicht funktioniert, greife ich mir an meine Nase. Wenn aber ein Cloud Server zusammenbricht, oder Daten verloren gehen…naja, sieht man ja. Wenn Daten von Millionen Nutzern zentral gelagert werden, bietet dies einen zentralen Angriffspunkt, liegen die Daten auf Millionen unabhรคngiger Rechner, ist der Angriff zu aufwรคndig.
Ich bin da halt etwas altmodisch eingestellt. Was mich erinnert…
Es gab mal einen Industriestandard im DTP Bereich, mit dem ich noch gearbeitet hatte, der hieร QuarkXpress. Die hatten damals auch eine Monopolstellung und konnten Mondpreise verlangen. Niemand wollte das Konkurrenzprogramm, weil alles auf Quark abgestimmt war und die Konkurrenz keine Alternative darstellte. Das Alternativprogramm, das damals keiner nutzen wollte, hieร รผbrigens Indesign (Version 1.0).
Die Creative Cloud hat nichts damit zu tun, dass man seine Layout-Daten, Projekte etc. in der Cloud speichern muss. Da hat Adobe auch richtig in die Sch…. gegriffen. Viele glauben nรคmlich nach wie vor, dass die Software irgendwie im Internet laufen wรผrde und man auch alle Projekte dort speichern mรผsse. Man bekommt 20 GB Speicherplatz online, den man wie bei Dropbox nutzen kann, aber nicht muss.
Auch ein Amazon-, Ebay oder Sonstwas Account kann gehackt werden. Bedenklich ist in diesem Fall aber, dass sich Adobe wohl nicht sicher ist, ob die Kundendaten ausreichend verschlรผsselt sind.
Ich war mir auch nicht sicher, ob das nicht eine Phishing-Mail ist, die ich diese Tage von Adobe bekommen hatte und habe mich direkt eingeloggt, um mein PW vorsichtshalber zu รคndern. Es ist also wahr :-(.
Entsetzt bin ich doch darรผber, dass Adobe das erst jetzt entdeckt hat, wenn der Datenklau doch schon im August stattfand! Im Grunde mรผsste Adobe jetzt endlich eine Zahlung per รberweisung, paypal oder รคhnliches anbieten, was mir sicherer erscheint, um MEIN Vertrauen zu stรคrken.
Was kann denn ausser Kreditkartendaten-Missbrauch noch geschehen? Kรถnnte jemand sich in mein Abo hacken? Ich habe nicht genug Wissen darรผber, welche Auswirkungen das haben kann. รble Sache, danke fรผr den aufklรคrenden Post!
Theoretisch kรถnnten die Zugangsdaten fรผr die CC Abos in Tauschbรถrsen etc. auftauchen, darum ist das Zurรผcksetzen des Passworts so wichtig, denn damit werden sie nutzlos. Abgesehen von der unsicheren Lage bei den Zahlungsdaten sind die Auswirkungen eher gering.
Man darf aber auch nicht vergessen, dass Adobe hier nicht alleine da steht. Man denke nur an den Kreditkartendiebstahl direkt bei Mastercard im letzten Jahr – hier waren 10 Millionen Daten betroffen.
Ja, ich zahle auch nur mit KK, wenn es gar nicht anders geht, weil ich schon einmal von KK-Missbrauch betroffen war :-(. PW ist ja bereits geรคndert, dann werde ich aufmerksam die KK-Abrechnungen im Auge behalten ๐
Danke fรผr die Zusammenfassung. Auch ich habe eine Nachricht bekommen, obwohl ich ausschlieรlich eine Lightroom-Demoversion heruntergeladen habe. Zumindest meine Bankdaten sind nicht erfasst. Auรerdem war mein Download auch schon vor mehr als einem Jahr und ich habe seitdem meine Passwรถrter in anderen Diensten schon einmal geรคndert. Mir persรถnlich kann das also recht egal sein. Allerdings fรผhle ich mich schon auch betroffen, denn von Abo-Modellen, egal welcher Art, lรคsst mich dieser Vorgang Kilometerweit Abstand nehmen.
Perfekt dargestellt und kommentiert. Ich glaube allerdings nicht, dass Adobe ein Einsehen haben wird. Die sind zu groร!
Schรถner Post.
Die Info von Adobe bzgl. des Passwort-Resets habe ich natรผrlich wie immer als SPAM eingestuft, wie das ja meist so ist. Erst die Tage habe ich mitbekommen, dass die Email ernst gemeint ist. ๐
Wie soll man heutzutage noch zwischen einer solchen Email vom Hersteller oder eine Pishing-Email unterscheiden?
Das blรถde an den Angriffen ist ja, einmal der Schaden des Angriffs selbst. Und dann noch das PR-Dissaster.
Bei mehrfach gesalzenen Passwรถrtern gebe ich dir vรถllig Recht. Entwicklungsserver vom Netz, ist aus meiner Sicht etwas รผbertrieben.
Bestens zusammen gefaรt. Mehr gibtรยดs dazu nicht zu sagen.
Auรer vielleicht, dass das Cloudmodell nun hoffentlich in den Wolken verschwindet.