Утечка пользовательских данных в Adobe Systems оказалась в 50 раз более масштабной по сравнению с первоначальной оценкой, сделанной компанией, сообщил аналитик компании Sophos Пол Даклин (Paul Ducklin).
В начале октября глава Adobe по безопасности Брэд Аркин (Brad Arkin) сообщил о взломе 2,9 млн аккаунтов, в результате которого был получен доступ к идентификаторам Adobe ID и зашифрованным паролям клиентов. Одновременно компания сообщила о получении хакерами несанкционированного доступа к исходному коду Reader, Acrobat, ColdFusion, а также к части исходного кода Photoshop.
На прошлой неделе пресс-секретарь Adobe Хизер Эдел (Heather Edell) сообщила, что фактическое число взломанных аккаунтов оказалось намного больше - около 38 млн активных аккаунтов.
Проанализировав дамп похищенной хакерами базы данных (он был размещен в Сети), Даклин выяснил, что в действительности он содержит около 150 млн учетных записей. Объем дампа в сжатом виде составляет 4 ГБ, в распакованном - 10 ГБ.
Однако говорить о том, что пострадали 150 млн пользователей, было бы неверно, уточняет Эдел. Потому что около 25 млн учетных записей из этого числа содержат неверные электронные адреса, а 18 млн - неправильные пароли. При этом «значительный процент» аккаунтов являются фиктивными - пользователи создают их лишь для того, чтобы скачать демо-версию продукта и больше не используют.
Ситуация усугублена тем фактом, что для шифрования паролей Adobe использовала сравнительно простой метод, утверждает исполнительный директор LastPass Джо Сигрист (Joe Siegrist). По его словам, Adobe не добавляла к паролям так называемую «соль» - дополнительный случайный фрагмент, который удлиняет пароль и усложняет его расшифровку. В результате исследователи нашли в базе данных один и тот же пароль в 1,9 млн учетных записях.
По словам Даклина, Adobe вполне может попасть в Книгу рекордов Гиннеса, допустив самую масштабную утечку в истории, о которой стало известно публично.
До истории с Adobe самая крупная утечка была допущена в 2009 году. Тогда были похищены 130 млн номеров кредитных карт из процессинговой системы Heartland Payment Systems. В качестве еще одной масштабной утечки можно упомянуть кражу хакерами в 2011 г. данных о более 100 млн учетных записей Sony PlayStation Network.
