Angriff auf Adobe-Forum

Bei einem digitalen Einbruch in einen Adobe-Server hat ein Angreifer nach eigenen Angaben die Daten von rund 150.000 Nutzern kopiert – darunter Namen, Mail-Adressen und Passwort-Hashes. Als Beweis veröffentlichte der Eindringling, der sich selbst ViruS_HimA nennt und angibt, aus Ägypten zu stammen, Auszüge aus seiner Datenbeute über den anonym nutzbaren Texthoster Pastebin. Dabei handelt es sich um die Daten von Nutzern, die der Angreifer aufgrund ihrer Mailadressen Adobe, dem US-Militär oder US-Regierungskreisen zuordnet.

Gegenüber dem Security-Magazing Dark Reading erklärte der Angreifer, dass der Einbruch über eine SQL-Injection-Schwachstelle gelang. Auf Hürden wie eine Web Application Firewall (WAF), die potenziell gefährliche HTTP-Requests herausfiltert, sei er nicht gestoßen. Er habe den Einbruch öffentlich gemacht, um auf die Schwachstellen aufmerksam zu machen und Hersteller wie Adobe zu mehr Sicherheit anzuhalten.

Adobe hat in seinem Blog bestätigt, dass es einen erfolgreichen Angriff auf eine Kundendatenbanken der Firma gab. Nach Unternehmensangabe stammen die Daten von der Seite Connectusers.com, einem Forum für Kunden des Webkonferenzdienstes Adobe Connect. Bis auf weiteres soll das Forum offline bleiben. Andere Teile der Adobe-Onlinepräsenz oder der Connect-Dienst selbst sollen laut Adobe nicht betroffen sein.

Ob die von dem Angreifer angegebene Anzahl von 150.000 Datensätzen zutrifft, ließ Adobe offen. Auch zu seiner Passwortspeicherpraxis macht das Unternehmen keine Angaben. Laut dem Eindringling fand er in der Adobe-Datenbank schnell zu knackende MD5-Hashes vor.

Update vom 15.11.2012, 15:10: Laut Sophos handelt es sich bei den veröffentlichten Passwort-Hashes tatsächlich um ungesalzene MD5-Hashes, die man innerhalb kürzester Zeit knacken kann. Sollten die Datenbankauszüge echt sein, hätte Adobe also wenig Mühe darin investiert, die Passwörter seiner Nutzer zu schützen. (rei)