2013年11月11日 星期一

Adobe安全事件更新:3800萬用戶受害,近200萬人用相同密碼

Adobe安全事件更新:3800萬用戶受害,近200萬人用相同密碼

Adobe遭駭客入侵導致客戶資料外洩事件有了新進度,根據最新的調查結果顯示,有高達3800萬個以上的用戶帳號、密碼遭到竊取,遠比一開始預估的還要嚴重。此外,也有資安專家破解這些外洩的帳密並發現,有近兩百萬人都使用了「123456」作為密碼

Adobe於今年十月初時對外坦承遭到駭客入侵,並表示有290萬名用戶的個資外洩,以及數款產品的程式碼遭到竊取。然而,Adobe於10/30對外更新調查結果指出,受影響的用戶數目比一開始預估的還要多,至少有3800萬個活躍帳號與密碼遭竊取,若包含失效或已經兩、三年以上未登入的不活躍帳號,則有超過1.5億筆帳密被存取。此外,Adobe Photoshop的程式碼也遭存取。

不僅如此,一名資安部落客Brian Krebs更在網路上指出,內含Adobe外洩的使用者帳號和加密密碼的檔案,已經被上傳到一個駭客論壇上。

Adobe已經先暫時停用這些受影響的帳號,並要求這些用戶重設密碼後才能再度使用。Adobe說明,除了一開始公布的290萬名用戶,其個資包括姓名、已加密的信用卡與轉帳卡(debit card)號碼、到期日,以及訂單等資料遭竊外,其他用戶僅有帳號與密碼遭存取,其相關財務資料並未受影響。另外,對於那些許久未登入的帳號,Adobe提醒,這些帳號同樣面臨安全風險,因此Adobe也已試圖通知這些用戶。

不僅用戶的個資遭竊,Adobe的產品程式碼也同樣遭殃。除了稍早前公布的Adobe Acrobat、ColdFusion和ColdFusion Builder等產品外,Adobe新的調查結果顯示,Photoshop的程式碼也遭駭客存取。

超過190萬名用戶使用123456為密碼

值得一提的是,Stricture Group的資安專家Jeremi Gosney破解了外流的Adobe用戶的密碼,並在11/5公布分析後的結果,列出100個Adobe用戶最常使用的密碼。結果發現,有超過190萬個使用者的密碼均為「123456」

Gosney公布的分析結果對於使用者來說無疑是個警惕。使用簡單、易猜的密碼一直是嚴重的安全漏洞,Gosney再度指出該問題的嚴重性,因為即使密碼經過加密,若用戶使用了相當普遍易猜的密碼,駭客就算沒有破解密碼,也可以輕易入侵這些帳號。這些受害的用戶若重設密碼,也應該避免再度採用這些被普遍使用的密碼。

Gosney的分析報告中,前二十大密碼依序為
123456
123456789
password
adobe123
12345678
qwerty
1234567
111111
photoshop
123123
1234567890
000000
abc123
1234
adobe1
macromedia
azerty
iloveyou
aaaaaa
654321

轉載自《資安人》