La récente violation de données à Adobe qui a exposé les informations de compte d’utilisateur et provoqué une vague d’e-mails de réinitialisation de mot de passe a touché au moins 38 millions d’utilisateurs, selon la société. Il semble également que la fuite de code source déjà massive chez Adobe s’élargit pour inclure les Photoshop famille de produits de conception graphique.
Dans une brèche annoncée pour la première fois sur ce blog le 3 octobre 2013, Adobe a déclaré que des pirates avaient volé près de 3 millions d’enregistrements de cartes de crédit clients cryptés, ainsi que les données de connexion d’un nombre indéterminé de comptes d’utilisateurs Adobe.
À l’époque, un énorme trésor de données de compte Adobe volées consultées par BreachTrace indiquait que – en plus des enregistrements de carte de crédit – des dizaines de millions de comptes utilisateurs sur diverses propriétés en ligne d’Adobe peuvent avoir été compromises lors de l’effraction. Il était difficile d’examiner pleinement de nombreux fichiers sur le serveur des pirates qui abritaient la source volée car de nombreux répertoires étaient protégés par mot de passe et Adobe hésitait à spéculer sur le nombre d’utilisateurs potentiellement touchés.
Mais juste le week-end dernier, AnonNews.org a publié un énorme fichier appelé « users.tar.gz » qui semble inclure plus de 150 millions de paires de noms d’utilisateur et de mots de passe hachés provenant d’Adobe. Le fichier de 3,8 Go semble être le même Garder la sécurité RSSI Alex Holden et j’ai trouvé sur le serveur avec les autres données volées à Adobe.
Porte-parole d’Adobe Heather Edell a déclaré que la société vient de terminer une campagne pour contacter les utilisateurs actifs dont les identifiants d’utilisateur avec des informations de mot de passe cryptées valides ont été volés, exhortant ces utilisateurs à réinitialiser leurs mots de passe. Elle a déclaré qu’Adobe n’avait aucune indication qu’il y ait eu une activité non autorisée sur un Adobe ID impliqué dans l’incident.
« Jusqu’à présent, notre enquête a confirmé que les attaquants ont obtenu l’accès aux identifiants Adobe et (ce qui était valide à l’époque), aux mots de passe chiffrés pour environ 38 millions de personnes. actif utilisateurs », a déclaré Edell [emphasis added]. « Nous avons terminé la notification par e-mail de ces utilisateurs. Nous avons également réinitialisé les mots de passe de tous les identifiants Adobe avec des mots de passe valides et cryptés qui, selon nous, ont été impliqués dans l’incident, que ces utilisateurs soient actifs ou non.
Edell a déclaré qu’Adobe pense que les attaquants ont également obtenu l’accès à de nombreux identifiants Adobe invalides, des identifiants Adobe inactifs, des identifiants Adobe avec des mots de passe chiffrés invalides et des données de compte de test. « Nous sommes toujours en train d’enquêter sur le nombre de comptes inactifs, invalides et de test impliqués dans l’incident », a-t-elle écrit dans un e-mail. « Notre notification aux utilisateurs inactifs est en cours. »
Une partie de la violation d’Adobe impliquait le vol de code source pour Adobe Acrobat et Lecteurainsi que ses Fusion froide Plate-forme d’applications Web. Parmi le cache se trouvait un fichier de 2,56 Go appelé ph1.tar.gz, mais BreachTrace et Hold Security n’ont pas pu déchiffrer le mot de passe de l’archive. Au cours du week-end dernier, AnonNews.org a publié un fichier du même nom et de la même taille qui a été ne pas mot de passe protégé, et semblait être le code source pour Adobe Photoshop.
Interrogé sur les similitudes entre la publication d’AnonNews et les fuites de code source découvertes par cette publication fin septembre, Edell d’Adobe a en effet déclaré qu’il semble que les intrus aient obtenu au moins une partie du code source de Photoshop. Dans les deux cas, Adobe a déclaré avoir contacté les sites hébergeant les données liées aux publications d’AnonNews et avoir fait retirer les informations.
« Notre enquête à ce jour indique qu’une partie du code source de Photoshop a été consultée par les attaquants dans le cadre de l’incident divulgué publiquement par Adobe le 3 octobre », a écrit Edell.
SURVEILLANCE DE CRÉDIT GRATUITE ?
Comme de nombreux lecteurs l’ont souligné dans les commentaires sur les publications précédentes de BreachTrace, Adobe a offert une année de surveillance du crédit aux clients dont les données de carte de crédit cryptées ont été volées lors de la violation. Il se trouve que l’offre d’Adobe passe par Expérianl’un des trois principaux bureaux de crédit et une entreprise qui est encore sous le choc d’une faille de sécurité dans laquelle l’entreprise a été amenée à vendre des dossiers de consommateurs directement à un service d’usurpation d’identité en ligne.
L’une des questions les plus fréquemment posées que je reçois concerne la question de savoir si les lecteurs devraient profiter des services de surveillance du crédit, en particulier ceux offerts gratuitement par les principaux bureaux de crédit en réponse à une violation. Ma réponse est généralement que la surveillance gratuite du crédit ne peut généralement pas faire de mal, tant que vous n’êtes pas automatiquement inscrit à un service de surveillance non gratuit après l’expiration de la période gratuite. La surveillance est particulièrement utile si vous avez déjà été victime d’un vol d’identité.
Mais gardez à l’esprit que le vol des informations de votre carte de crédit est ne pas la même chose que le vol d’identité – qui implique généralement l’ouverture frauduleuse de nouveaux comptes à votre nom. Certains types de vol d’identité impliquent la création d’identités synthétiques – en utilisant des parties de vos informations personnelles combinées à certains aspects qui ne vous appartiennent pas – et les services de surveillance du crédit peuvent avoir du mal à détecter ces types de comptes.
Pour les consommateurs qui réagissent aux informations concernant la compromission de leur carte de crédit ou de débit, il est probablement plus logique d’opter pour l’envoi d’alertes à la fraude et l’obtention de copies gratuites de votre dossier de crédit plusieurs fois par an, comme le prévoit la loi. Et rappelez-vous que les associations de cartes ont toutes des politiques de responsabilité zéro.
Une grande partie de la surveillance de votre crédit consiste à vérifier votre dossier de crédit pour détecter les bizarreries et les erreurs. Les bureaux de crédit préféreraient que vous acheté une copie de votre rapport de solvabilité de leur part (les publicités ennuyeuses et accrocheuses pour freecreditreport.com, par exemple, sont des publicités pour le service d’Experian). Mais c’est complètement inutile. Les consommateurs américains ont droit à un rapport de crédit gratuit de chacun des trois principaux bureaux une fois par an, via rapportannueldecredit.com. Cela signifie qu’environ tous les quatre mois, vous devriez pouvoir obtenir une copie mise à jour de votre dossier de crédit auprès de l’un des trois bureaux (les rappels de calendrier sont utiles ici).
Mais revenons à la question de la surveillance du crédit : après avoir été le destinataire d’un grand nombre de tentatives d’ouverture de nouvelles lignes de crédit à mon nom, j’ai avoir choisi de profiter d’un service de surveillance du crédit, mais ce n’est pas l’un des services offerts par les trois bureaux (et je vais en rester là). La raison principale en est que si vous vous trouvez dans une situation (comme je le suis maintenant) où certains prêteurs ne parviennent pas à supprimer les demandes de crédit frauduleuses qui affectent négativement votre pointage de crédit et votre dossier, vous devrez éventuellement en parler directement avec les bureaux de crédit.
Bien qu’il puisse être tentant de croire que payer Experian ou l’un des autres bureaux de crédit (Équifax ou Trans Union) pour surveiller votre dossier pourrait les rendre plus susceptibles de vous aider dans cette situation, il n’y a absolument rien dans les petits caractères qui dit qu’ils le feront. N’oubliez pas non plus que ce sont les mêmes entreprises qui incitent les consommateurs à payer pour des rapports de crédit gratuits et à gagner de l’argent en vendant vos informations de crédit à des créanciers et à des commerçants potentiels (ou dans le cas d’Experian, même à des services de vol d’identité) .
Comme mentionné précédemment, les consommateurs ont également le droit de placer une alerte à la fraude dans leur dossier de crédit et d’exiger que les créanciers potentiels obtiennent d’abord l’approbation du consommateur, par exemple par téléphone, avant d’accorder de nouvelles marges de crédit. Les protections sont plus strictes si les consommateurs peuvent prouver qu’ils ont été victimes d’usurpation d’identité – dans ce cas, l’alerte à la fraude reste dans les dossiers des victimes d’usurpation d’identité pendant sept ans. Alors qu’une alerte de fraude ordinaire expire après 90 jours, les consommateurs peuvent simplement renouveler l’alerte en ligne lorsque l’ancienne expire. Le bureau de crédit auprès duquel vous déposez l’alerte est tenu par la loi de la partager avec les deux autres agences.
Enfin, les consommateurs ont toujours la possibilité de placer un gel de sécurité sur leur dossier de crédit – qui empêche les créanciers d’accéder à vos rapports de crédit jusqu’à ce que le gel soit levé. Il en coûte généralement 10 $ pour placer un gel et 10 $ de plus pour le dégeler si jamais vous voulez acheter une nouvelle voiture ou ouvrir une nouvelle marge de crédit. Cela peut sembler fastidieux, mais cela peut finalement avoir plus de sens que de payer 15 $ par mois pour un service de surveillance du crédit ou d’essayer de se souvenir de déposer de nouvelles alertes de fraude tous les 90 jours.
Mise à jour : 29 octobre, 21 h 26 HE : Modification de la paraphrase du commentaire d’Edell sur l’achèvement de la campagne de notification, de « ..pour contacter les utilisateurs existants dont les informations de connexion et de mot de passe crypté ont été volées », au texte actuel.