Как сообщается на официальном сайте австралийского правительства, совместное австралийско-ирландско-канадское расследование прошлогоднего взлома Adobe Systems Software Ireland Pty Ltd показало, что компания нарушила Privacy Act 1988 (австралийский закон о защите конфиденциальности личной жизни), в результате чего пострадали как минимум 38 млн клиентов Adobe во всем мире, включая 1,7 млн австралийцев.

В расследовании принимал участие австралийский уполномоченный по защите конфиденциальности личной жизни Тимоти Пилгрим (Timothy Pilgrim) в сотрудничестве с ирландским уполномоченным по защите данных и офисом канадского уполномоченного по защите конфиденциальности частной жизни.

Расследование выявило, что Adobe не предприняла подобающих шагов для защиты персональной информации своих клиентов. «Закон не предъявляет организациям требований о построении невзламываемых систем, тем не менее этот инцидент иллюстрирует важность постоянного применения надежных мер безопасности в системах», — сказал Пилгрим.

Персональная информация, скомпрометированная этой атакой, хранилась в резервной системе хранения данных, которая должна была быть списана. Там содержались адреса электронной почты, пароли в зашифрованном виде, незашифрованные подсказки паролей, зашифрованные номера платежных карт и даты истечения срока их действия.

«Обычно Adobe исповедует сложный и многоуровневый подход к информационной безопасности и защите своих IT-систем, — признал Пилгрим. — Однако я особенно был обеспокоен тем, каким образом Adobe защитила адреса электронной почты и пароли своих пользователей в скомпрометированных системах».

Тип шифрования, применяемого Adobe для хранения паролей клиентов в резервных системах, вместе с подсказками, сохраняемыми в незашифрованном виде, позволил экспертам по информационной безопасности определить большую часть распространенных паролей и ассоциировать с ними учетные записи.

«Использование блочного алгоритма шифрования приводит к тому, что общие пароли, используемые разными пользователями, имеют одинаковое представление в зашифрованном виде. К примеру, для каждого из 1 911 938 пользователей в базе данных, использующих наиболее распространенный пароль, в базе сохраняется строка «EQ7fIpT7i/Q=». Этот текст бесполезен без доступа к ключу, однако тот факт, что одинаковые пароли одинаково шифруются, позволяет сгруппировать общие пароли. Кроме того, Adobe хранила «парольные подсказки» в резервной системе в открытом тексте, вместо того чтобы использовать криптоформат. Расследование выявило, что часть этих подсказок содержало сами пароли. К примеру, некоторые пользователи, ассоциированные с зашифрованными паролями, устанавливали подсказку, содержащую сам пароль. Это позволило злоумышленникам узнать пароль для каждого из этих почти 2 млн пользователей: «123456», — говорится в отчете уполномоченного.

«Я удовлетворен тем, что меры, которые Adobe приняла в ответ на взлом своих систем, помогут компании значительно усилить защиту конфиденциальности и прийти в соответствие с законом о конфиденциальности. Я попросил Adobe привлечь независимого аудитора для проверки того, как реализованы намеченные улучшения, и предоставить мне копию сертификата и отчета аудитора до 30 июня 2015 года», — сказал Пилгрим.

Категории: Другие темы