Buit inbrekers Adobe veel groter

Adobe zelf meldde vorige week nog dat het ging om data van ruim 38 miljoen klanten. Plus 3 miljoen die het een maand eerder had gemeld. Als het aantal van ruim 152 miljoen klopt, staat Adobe met deze inbraak met stip op één op de lijst van datadiefstallen. Tot nu toe wordt die aangevoerd door Heartland Payment Systems, waarvan in 2009 ruim 130 miljoen creditcardnummers werden gestolen. Daar staat wel tegenover dat de data die van Adobe zijn gestolen geen financiële gegevens betreffen, waardoor de impact kleiner is.

Waardevol

Hoewel Adobe wel erkent dat de ‘buit’ die LastPass heeft ontdekt bestanden betreft die uit zijn datacentrum zijn gestolen bagatelliseert het bedrijf het belang van de vondst. Het zou in veel gevallen gaan om ongeldige e-mailadressen en wachtwoorden. Veel van de accounts zouden eenmalig geweest zijn, opgezet om gratis software te kunnen gebruiken. Experts wijzen er echter op dat dergelijke gegevens wel degelijk van waarde zijn voor criminelen omdat gebruikers oude wachtwoorden vaak hergebruiken. Ook de hints die voor gebruikers zijn opgeslagen zijn bruikbaar voor criminelen om wachtwoorden te raden.

LastPass wijst er op dat Adobe een aantal standaard beveiligingsmaatregelen niet heeft genomen. Zo zijn de gestolen wachtwoorden niet beveiligd met behulp van ‘salting’. Dit houdt in dat elk wachtwoord voorzien wordt van een aanvullende geheime code voordat het gescrambled wordt opgeslagen in de database. Daarmee wordt bereikt dat verschillende versleutelde versies van een wachtwoord er nooit hetzelfde uitzien.