Эпик фэйл компании Adobe Systems, или Самая масштабная кража учетных данных в истории Интернета

Этот инцидент с большой долей вероятности войдет в Книгу рекордов Гиннеса. Как? Вы еще не слышали об этом случае? Тогда рассказываю.

Утечка данных из Adobe Systems

Третьего октября сего года, компания Adobe Systems (разработчик графического редактора Photoshop и множества других продуктов) официально сообщила, что подверглась мощной кибератаке, из-за которой произошла утечка данных клиентов. В результате компрометации, злоумышленники получили доступ к зашифрованным паролям и данным по платежным картам почти трех миллионов (точнее 2,9) своих клиентов!

Также сообщалось, что "хакеры" получили доступ еще и к исходным кодам некоторых продуктов (ColdFusion, The ColdFusion Builder, Adobe Acrobat и частично Photoshop).

Но все это была лишь вершина айсберга...

Спустя несколько недель, 29 октября, известный журналист, блогер и эксперт по информационной безопасности Брайан Кребс (http://krebsonsecurity.com/), после собственного анализа, опубликовал отчет с сенсационными данными.

Блог Брайана Кребса KrebsonSecurityВ нем утверждалось, что жертвами кибератаки стали 38 млн. пользователей, а не 2,9 млн., как озвучивалось ранее в официальном сообщении Adobe.

В пресс-службе Adobe Systems подтвердили эту информацию, сообщив, что злоумышленникам стали доступны Adobe ID и зашифрованные пароли именно 38 млн. Примечательно, что названная цифра – это число активных пользователей, не считая тех, кто регистрировался исключительно для получения ID и дальнейшей активации "взломанных" версий продуктов компании.

Казалось бы, ситуация вполне обычная (если можно так выразиться). Все пароли сбросили, уведомления пользователям разослали. Извинились, и все такое =)

Но на этом история не закончилась...

Уже в начале ноября (спустя месяц после того, как стало известно о взломе), Пол Даклин - эксперт ИБ-компании Sophos, сообщил, что скомпрометированными оказались 150 млн. учетных записей!  (по другим данным, дамп содержит 130 324 429 учетных записей). Более того, архив с дампом угнанной БД был опубликован в свободном доступе в интернете.

Представители Adobe ответили на это тем, что не стоит так "раздувать" ситуацию, в виду того, что ~ 25 млн. записей имеют несуществующие E-mail, а примерно 18 млн. – ложные пароли. Также они заявили, что большинство учетных данных являются "фикцией" и служили лишь для того, чтобы загрузить пробные версии ПО, для дальнейшей их активации нелегальными серийниками, патчами и т.п.

Я считаю, что эти заявления, в целом, близки к реальности. Да и дальнейший анализ это частично подтверждает. Но то, что вскрылось после, заслуживает отдельного и наибольшего внимания.

Как в Adobe Systems хранили конфиденциальные данные, и какой пароль был самым популярным.

После того, как архив с дампом БД был слит в паблик, многие заинтересовались им: и эксперты по ИБ, и злоумышленники, и специалисты по криптографии и т.д.. Но наиболее полный отчет и исследование предоставила в своем блоге NakedSecurity упомянутая выше компания Sophos (можете прочитать отчет здесь, на английском).

В общем, картина оказалась следующей.

В самом начале, когда Adobe сообщила о взломе, ее представители утверждали, что пользователям нет причины переживать, потому что все пароли зашифрованы. И тогда выглядело это заявление вполне обнадеживающим. Ведь многие посчитали, что, вероятнее всего, в онлайн-сервисах Adobe использовали хэширование паролей с добавлением так называемой "соли" (рандомный фрагмент данных, удлиняющий пароль, и усложняющий его расшифровку). Или использовался достаточно стойкий алгоритм шифрования с разными ключами.

Но в итоге выяснилось, что в Adobe применялся достаточно простой способ шифрования - симметричный блочный шифр 3DES в режиме Electronic Code Book (ECB) с добавлением ASCII NUL ("нолик") в конце каждого пароля. Причем ключ шифрования был одним единственным на все пароли.

Вскоре этот ключ, вероятно, будет найден. И все пароли станут известны злоумышленникам. Как следствие этого, они попадут в т.н. "словари" для брут-форса. Но пока, официально ключ еще не найден.

Но примечательно не только это. Исследование Sophos также позволило выявить несколько других интересных деталей.

Например, было выявлено, что значение EQ7fIpT7i/Q= повторялось в базе 1 911 938 раз. Напомню, что "соль" не использовалась, шифрование осуществлялось одним общим ключом + в дампе имелись "подсказки", которые вообще хранились в открытом виде. Подсказки – это те, которые показываются пользователю, когда он забыл свой пароль.

Вот, примерно так выглядит дамп слитой базы (логины и e-mail в целях конфиденциальности "закрашены"):

Дамп базы данных пользователей Adobe.com

Так вот, простейший анализ показал, что значение EQ7fIpT7i/Q= соответствует паролю 123456, и встречается оно почти 2 млн. раз! И это самый популярный пользовательский пароль в сервисе Adobe =)

Подобным образом были "вычислены" и многие другие популярные пароли. Например, значению j9p+HwtWWT86aMjgZFLzYg== соответствует пароль 123456789, и он встречается в базе 446 162 раз.

Вот еще один скриншот от Sophos, для наглядности того, какие "подсказки" использовали пользователи.

Подсказки, хранившиеся в открытом виде

А вот так выглядит ТОП 10 паролей, которые использовались для регистрации на adobe.com:

TOP 10 паролей, используемых в онлайн-сервисах Adobe

Если интересно, можете посмотреть ТОП 100 паролей по ссылке: http://stricture-group.com/files/adobe-top100.txt

Вот такая вот история.

Утечку паролей, которые представлены в ТОП 100, можно считать незначительной, и даже недееспособной. Ведь, во-первых, как уже было сказано, да и мы все это прекрасно понимаем, очень многие учетные записи были одноразовыми, для скачивания пробных версий дистрибутивов. Во-вторых, эти пароли уже всем давно известны, и они есть в любом словаре для брута.

Но факт остается фактом – слишком многие люди используют одни и те же простейшие пароли.

А теперь давайте перейдем к главному - вместе поразмышляем, и сделаем выводы из этой ситуации.

Первое, что напрашивается – это то, что не стоит доверять даже гигантам какой-либо отрасли. Уж если такая компания, как Adobe, допустила эту ситуацию (одно дело "взломать" что-то и слить данные, ведь взломать можно, кого угодно; другое – эти данные расшифровать), то, что уж говорить о каких-то небольших интернет-сервисах, порталах и т.п. в которых мы постоянно регистрируемся и заводим аккаунты...

Из этого напрашивается второй вывод – нельзя,ни в коем случае нельзя (!), использовать один и тот же пароль в нескольких сервисах. Помните это. Ведь если ключ для расшифровки этой базы будет подобран, то все пароли уйдут в "словари", как я уже говорил. И даже очень сложные и устойчивые к взлому пароли, вида iVn2n673bo3grBWPa>WaP, находящиеся в этой базе можно будет считать не совсем надежными.

Объясню почему. Допустим, я хочу "хакнуть" почту или какой-то аккаунт своего недруга. У меня есть словарь с паролями из этой базы. Я надеюсь, что "жертва" юзает одни и те же пароли в нескольких сервисах. Начинаю брутить, и через некоторое время, если будут совпадения – я получу доступ к искомому.

Важно!Запомните важное правило! Для каждого аккаунта, для каждой учетной записи, для каждой почты и т.д. должны быть уникальные, сложные пароли. Подробнее о паролях можете почитать в моей статье "Ликбез по паролям".

И третий, напрашивающийся вывод: обязательно используйте менеджеры паролей. Ведь если следовать предыдущему правилу, то возникнет необходимость либо помнить все эти десятки (а то и сотни) паролей, что просто физически не реально, либо их где-то хранить.

Ни в коем случае не храните пароли в текстовых файликах "Блокнота", или в Ворде (даже с паролем) и т.п. А если уж храните, то делайте это в специальных зашифрованных контейнерах (напр., в контейнерах TrueCrypt). Но все же, я настоятельно рекомендую использовать менеджеры паролей. Не обязательно именно те, о которых я уже писал – 1Password или KeePass (мой цикл статей по KeePass: часть 1, часть 2, часть 3). Можете использовать любой удобный для себя продукт, будь то RoboForm, LastPass, Kaspersky Password Manager и т.д.

Поверьте, это не только очень удобно, но еще и безопасно.

Ну, вот вроде бы и все, о чем хотел сегодня рассказать. До новых встреч на страницах блога и в сети.

С уважением, Александр Майер

44 Комментариев Эпик фэйл компании Adobe Systems, или Самая масштабная кража учетных данных в истории Интернета

  1. Александр Викторович

    Полезно и поучительно. Когда то давно, только начинал пользоваться интернетом. Завел электронную почту, с помощью менеджера на работе и использовал простейший пароль. Его же использовал для регистрации при подаче бесплатных объявлений. Подсказать было не кому.
    Теперь, набравшись некоторого опыта, пользуюсь сложными паролями и конечно разными. Те начальные пароли давно поменял. Пароли храню в бумажном блокноте. Но не очень удобно, их количество растет. Думаю познакомится с менеджером паролей.
    Александр есть вопрос по безопасности блога, я наверное напишу в обратную связь, может что посоветуете?

    1. Александр Майер

      Раньше кражи паролей не носили массовый характер. И у многих было также, как у вас - несколько учетных данных с одним и тем же паролем =) Позже, с развитием интернета стала развиваться и киберпреступность. И сейчас одним паролем уже не обойтись.

      По поводу вопроса отвечу вечером, когда дома буду.

  2. Василий

    Слышал об этом. Не знал, что для загрузки своих продуктов Adobe Systems требовала пароли. Adobe Reader доступен без пароля, а Acrobat, Illustrator и Photoshop у меня в переносных вариантах.
    Сейчас у них Creative Cloud - временная лицензия, поэтому, без пароля, наверное, уже нельзя будет обойтись.

    1. Александр Майер

      Да, бесплатный софт (Флэш плеер, Ридер и т.п.) доступны для скачивания без регистрации. Платное же ПО требует регистрацию и получение Adobe ID.

      А с Creative Cloud тем более без регистрации никак, это верно.

  3. Сергей

    Я так пароли храню в тетрадке. Не доверяю я ни сервисам, ни менеджерам паролей. Вообще, такую информацию нечего хранить в электронном виде, даже если обещают 100% гарантию.
    Предлагаю такую схему защиты :) :
    1) записывать все пароли в тетрадку;
    2) тетрадку поместить в непромокаемый пакет;
    3) далее все это дело запихиваем в небольшой сейф;
    4) сейф надежно прикрепить к полу и стенке
    5) на месте сейфа собрать деревянный шкаф;
    6) в шкафу сейф замаскировать очень грязным бельем;
    7) покупаем будку для собаки;
    8) в будке делаем секретный отсек и помещаем туда пароль от сейфа;
    9) покупаем двух здоровых бульдогов;
    10) поместить одну собаку в будку, другую возле шкафа.
    Вот теперь точно можно гарантировать 100% защиту данных :)

    1. Александр Викторович

      Супер совет. Самый особо надежный способ. Главное не забывать кормить собак, а то вдруг тетрадку слопают?

        1. Александр Майер

          Схема - огонь! Взял на вооружение!
          Даже успел опробовать. Самое классное в ней - это легкость изъятия тетрадки, и перепечатывание пароля в браузер для авторизации. Очень удобно, быстро! Ну, и главное, очень надежно =)

    1. Александр Майер

      Да, печалька. Уже с неделю как. Повылетали все страницы из индекса. И главное только у меня с Яндексом все наладилось - и трафик пошел (стабильно 30 на 70 с Гуглом, раньше до 20% не всегда дотягивало), и страницы в индекс быстро влетали.. А тут на тебе.

      Общаюсь с Платонами, обещают выяснить в чем дело. Это не фильтр, скорее всего (за что?), скорее глюк какой-то. После внедрения нового АГС-фильтра многих эта проблема коснулась.

  4. Дмитрий

    Мда. Миллионом паролей больше, миллионом меньше... когда о таких числах идет речь - разницы никакой нет.
    По поводу вылета из индекса - недавно общался с одним блогером, он атаковал техподдержку Яндекса, так сайт абсолютно белый.

    В конце-концов ему сообщили, что это ошибка и скоро все страницы вернутся в поиск.
    У тебя тоже скорее всего глюк.

    1. Александр Майер

      Я тоже саппорт атакую =) Уже несколько дней. Уверен, что это глюк какой-то.

      По ситуации. Даже если ~ 50 млн. паролей окажутся фэйковыми (хотя по идее меньше), то оставшиеся пароли, если будет найден ключ шифрования, это огромная находка для злоумышленников. И большая печаль для многих юзеров =)

      1. Василий

        Александр, можно попробовать обратить внимание Яндекса на свой сайт с другой стороны.
        Оставляй ссылки в соц.сетях на те статьи, что вылетели с индекса. Только не на все сразу, а по 3-4 ссылки в каждой соц.сети. В одной сети одни ссылки, в другой другие.
        Так за некоторое время прогонишь все статьи. Роботы могут быстрее просигнализировать Яндексу для принятия решения.
        Обрати особое внимание на Я.ру.

        1. Александр Майер

          Василий, нет, я думаю это не тот случай. То, о чем вы говорите, безусловно положительно влияет на ускорение индексации. Но не в том случае, когда почти все страницы взяли и вылетели из индекса в одночасье. Здесь это вряд ли поможет.

          Да и не собираюсь я поштучно "восстанавливать" страницы. Нужно добраться до сути, выявить причину (чем, я надеюсь, саппорт Яндекса сейчас и занимается) и разом решить проблему. С моей стороны нет ни малейшего повода для наложения на сайт каких-либо санкций и фильтров.

          1. Сергей

            да это глюки яндекса после ввода нового алгоритма, у многих такая беда была, вскоре вернутся в индекс, не переживай.

          2. Александр Майер

            Ага, не одного меня коснулось.

            Сейчас у меня вообще интересное положение вещей - страницы в индексе "скачут", то 4, то, 5, то 6, потом опять 4, и т.д. =)

    1. Александр Майер

      Искренне на это надеюсь =) Вот только Платоны очень уж медлительны :(

  5. Web-Кошка

    Привет) А я подумала, это у меня глюк - про три страницы( Может быть, в этот ап все вернется? Платоны молчат?
    А по теме - у меня в Adobe тоже был пароль 123456))) Как, кстати, и во всех других случаях, где без регистрации не обойтись для какого-нибудь одноразового действия. Ну или если никаких данных о себе не оставляю, то тоже - "123456") А важные пароли, спасибо тебе :), теперь в КиПасе.

    1. Александр Майер

      Не, это Яндекс что-то моросит. Кстати, только АП очередной был, ничего не изменилось. Теперь следующего апа ждать, наверное, придется. Платоны пока молчат

    2. Александр Майер

      Короче, Яндекс ответил примерно следующее: "С нашей стороны все в порядке, никаких проблем с сайтом нет, никаких санкций и фильтров не наложено. Почему сайта нет в поиске - не знаем, т.к. такую инфу не храним. В скором времени все будет гуд, и сайт должен появиться в поиске. Ждите пару недель"

      Нормальный ход, да? =) Я не я, ж... не моя. Сайт уже с неделю вне индекса, и еще ждать неопределенное время. И они тут якобы не при чем :) И даже причину вылета назвать не могут.

      Вот такие вот они, отечественные производители. Умыли руки, ждите. Все само собой нормализуется :) И так по всей стране и во всех сферах. Авось само пройдет. Блин, и смешно, и печально =)

      PS: а тем временем в индексе уже на 3 страницы больше. Теперь их аж целых 6 =)))

      Ларис, как думаешь, может стоит страницы вручную в аддурилку позагонять?

      1. Web-Кошка

        Ну видишь, уже шесть, значит, все нормализуется. Это хорошо, что они тебе так ответили, было бы хуже, если бы на самом деле фильтр, сам понимаешь.
        Попробуй позагоняй, хуже не будет. Однако не удивляйся, если увидишь "указанный урл уже проиндексирован". В твоем случае это очень возможный вариант ответа аддурилки.

        1. Александр Майер

          Так а за что мне фильтр-то? За то, что редко статьи публикую? =) Да и если бы фильтр был наложен, сначала бы позиции жестко упали, а не полностью выпад из индекса. Я же не такое ГС, чтобы меня сразу банить. Правда же? :)

          Насчет позагонять. Несколько страниц загнал в аддурилку (прям с первой начал), завтра посмотрим на результат. А то, о чем ты говоришь, исключено. Ни одна страница такого не выдала, кроме тех, что в индексе. Специально проверил -)

          1. Web-Кошка

            У меня такое иногда бывает, если пытаюсь загнать страницу, которую не вижу в индексе. Впрочем, может, глючит.

          2. Александр Майер

            Не, у меня такого не было ни разу :)

        2. Александр Майер

          Уже иначе - 4 страницы в индексе. Яндекс однозначно издевается над добропорядочными людьми. Меня это уже реально бесит! Завтра продолжу с ними "воевать". Это действительно не лезет ни в какие ворота =(

  6. surzis

    Пользуюсь сложны паролем с 15 символов\цифр, которые изменяются только последней цифро. По сути то один сложный пароль, с неким не сложным изменением)

    1. Александр Майер

      Не самый лучший вариант -)
      Вот вы сейчас об этом сказали, теперь злоумышленнику будет достаточно узнать какой-нибудь один ваш пароль, а с остальными у него никаких проблем не возникнет =)

      1. surzis

        для этого ему нужно будет подобрать всего лишь 69222400 вариантов паролей) Можете попробовать ;-)

        1. Александр Майер

          Зачем? Если у вас меняется только одна последняя цифра? :) Всего лишь 9 вариантов подобрать.

  7. surzis

    имел ввиду "несколько последних цифр\символов". Методом несложного сложения, я получил 69222400)

    1. Александр Майер

      А, ну если несколько последних цифр/символов, и если они рандомные, тогда да. По крайней мере, это гораздо лучше и практичней, чем юзать один, пусть и сложный, пароль для нескольких сервисов.

  8. Сергей

    Да уж, молодцы что сказать) Несоленые пароли рано или поздно перекочуют в словари и тогда пойдет очередная волна массовых взломов, в основном в европе и сша, благо наш отечественный пользователь предпочитает бесплатную продукцию с торентов =)

    1. Александр Майер

      Или юзает для этих целей одноразовые пароли, по типу "123456" =))

  9. Илья

    А я знал! Я знал, что с такими компаниями что-нибудь подобное когда-нибудь произойдёт, ибо профессионалы горят на мелочах! Так что это ещё раз доказывает, что лучше не использовать одинаковые пароли на разных, пускай даже известных сайтах.

    1. Кирилл

      Скорей дело даже не в одинаковых паролях.
      После того как Adobe перевели большинство своих проектов в облако, это было вопросом времени. я уверен, подобные атаки повторятся ещё не раз.

      1. Александр Майер

        Приветствую, Илья и Кирилл!

        Подобные атаки происходят регулярно на самые различные компании. И достаточно часто вполне удачно. Данные утекают. Но, если компания должным образом хранит пользовательские данные, то утечки не так страшны. Потому что расшифровать их, бывает, практически нереально.

        А про одинаковые пароли Илья прав. Никогда нельзя использовать один и тот же пароль в нескольких сервисах. Если уж нужно было получить Adobe ID и скачать дистрибутив, то лучше юзать одноразовый пароль: вбил, зарегился, скачал, забыл.

  10. Aleks

    С интересом почитал статью, хотя и не новичок в этой теме. Вообще, истории из тематики информационной безопасности почти всегда читаются как детективы. Несколько неожиданно узнать, что такой корифей и графический монстр интернета как Адобе держат безопасность данных на таком уровне. И не важно, какие там учетные записи, липовые или реальные. Важен подход к их сохранности.
    Как показывает моя многолетняя практика, существуют две категории людей, относящихся более или менее ответственно к созданию и сохранению своей личной информации (пароли, ники, коды).
    1. Те, кто должен это делать в силу своей проф. деятельности.
    2. Те, кто не единожды потерял свои данные в результате разных причин: вирусов, сбоев, краж и пр.
    Но и тут бывают исключения. Все остальные считают, что эта проблема их никогда не коснется. Так уж устроена психология человека. А мозги начинают интенсивнее работать, если по ним "стукнуть".

    1. Александр Майер

      Согласен, Adobe были просто обязаны позаботиться о надежном хранении учетных данных, несмотря на большое обилие фейковых учеток.

      По второй части тоже поддерживаю. У нас ведь обычно как: "Пока гром не грянет, мужик не перекрестится". Но тенденция к повышению интернет-грамотности пользователей в плане безопасности видна. И это радует

  11. Andrey

    Здравствуйте.
    А вот к примеру sticky password подойдет для хранения паролей?
    И как быть если мастер-пароль утрачен из головы?

    1. Александр Майер

      Добрый день.
      Конечно подойдет. А вот если утерять мастер-пароль - это беда. Обычно в менеджерах паролей нету опции восстановления или сброса мастер-пароля. Так что об этом нужно позаботиться заранее, т.е. не только запомнить, но еще и записать пароль в несколько недоступных для посторонних мест, например, на CD-болванки.

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *