Leie av programvare har sin pris. Ikke minst når utgiveren ikke bryr seg med å passe på kundenes persondata. (Bilde: digi.no)

Adobe må i skammekroken

Pinlig slurv med sikkerheten.

KOMMENTAR: Normalt er det ikke pent å mobbe et ransoffer, men her må vi gjøre et unntak.

Adobe opplevde nylig alle moderne kunnskapbedrifters store skrekk. Noen tok seg inn og knabbet en masse kildekode til produktene deres. Levebrødet.

Med på lasset fikk tyvene med seg persondata tilhørende 153 millioner kunder, hvorav minst 38 millioner aktive brukere. Det inkluderer i alle fall navn, brukernavn, passord, e-postadresser og kortopplysninger.

Ting som det i utgangspunktet er kjipt ikke å ha full kontroll med, og særlig for selskapet som mer enn noen andre har sluttet å selge programvare – alt i et forsøk på å få kundene til å skaffe seg abonnement og leie verktøy som Photoshop, Illustrator, Acrobat og så videre i stedet for å kjøpe til odel og eie som før.

Men datainnbrudd kan ramme alle. Sympatien lå derfor først hos det som er verdens fjerde største programvareutvikler. Ikke nå lenger.

For etter nærmere betenkningstid kan Adobe nå fortelle at de stjålne passordene slett ikke var hashet, slik de tidligere har antydet.

Passordene var bare kryptert med 3DES, noe som kan gjøre et enklere å knekke dem, ifølge Telenors sikkerhetssenter.

Angriperne kom over en backup-løsning som egentlig skulle vært lagt ned. Da hjelper det lite at Adobe senere skal ha begynt på ta i bruk ekstra beskyttelse, noe alle sikkerhetseksperter og utviklere flest vet er god skikk i omgang med persondata som krever sikring.

Enveis-kryptering alene kommer nemlig ofte til kort. Det er først i kombinasjon med teknikkene hashing og salting at krypterte passord oppnår en anerkjent grad av sikring. Først da blir det virkelig vanskelig for uvedkommende å knekke dem.

Og her tråkket altså Adobe i baret. Ikke bare har de hatt et lemfeldig forhold til sikring av databasene. De har også brutt med elementær tankegang og rutiner rundt sikring av kundenes passord.

Ikke bare er det nå mulig å gjette seg fram til passordene, som for lengst er spredd i fildelingsnettverk på internett. Sikkerhetsselskapet Sophos redegjør for at passord-hint samtidig lå lagret i klartekst. Passord-katastrofen er et faktum.

Adobe kan pelle seg inn i skammekroken.

    Les også:

Til toppen