Adobe-Hack: Viel schlimmer als angenommen – auch Sie sind betroffen!
Vor gut einem Monat ging die Meldung durch die Presse, dass Hacker von Adobe-Servern Kundendaten gestohlen hätten, darunter Kreditkartennummern, Passwörter und E-Mail-Adressen. Der Hack wurde daraufhin nicht mehr gross beachtet – einer von vielen, könnte man meinen. Das ist jedoch ein fataler Irrtum. Wir zeigen Ihnen, warum der Adobe-Hack der vielleicht schlimmste seiner Art ist und warum auch Sie schnell handeln müssen, um Ihre Daten und Ihr Geld zu schützen.
Fakt ist: Die gesammelten E-Mail-Adressen und verschlüsselten Passwörter sind mittlerweile problemlos im Netz als Download zu finden. Es gibt sogar Statistiken über die Längen der gestohlenen Passwörter. Technologiemagazine sprechen bereits vom schwerwiegendsten Hack aller Zeiten.
Was genau ist passiert?
Am 3. Oktober gab Adobe bekannt, dass Eindringlinge die Passwort- und Kreditkartendaten von etwa 3 Millionen Nutzern von den Servern des US-Unternehmens kopieren konnten. Inzwischen kam ans Licht, dass die Hacker noch eine weitere Datenbank anzapfen konnten, in der sich insgesamt rund 153 Millionen Datensätzen mit E-Mail-Adressen und zum Teil verschlüsselten Passwörtern sowie Passworthinweisen befanden.
Wenn Sie in irgend einer Form Adobe-Kunde sind, sollten Sie das Folgende ganz genau lesen. Falls nicht, freuen Sie sich nicht zu früh – Sie könnten trotzdem betroffen sein. Warum, erfahren Sie weiter unten.
Warum der Hack so problematisch ist
Die Verschlüsselung der gestohlenen Passwörter ist nur ein schwacher Trost. Denn allein schon die E-Mail-Adressen der Kunden sind ein gefundenes Fressen für Spam-Aktivisten, die teures Geld für solche Listen bezahlen. Der Wert der über 150 Millionen Adressen könnte sogar in die Millionen gehen. Doch das hatten die Hacker offenbar gar nicht im Sinn, da sie die Datensätze öffentlich zur Verfügung stellten. Damit dürfte sich das Spam-Aufkommen in den betroffenen Postfächern noch um ein Vielfaches erhöhen. Doch die zu erwartende Spamflut dürfte nicht das Hauptproblem sein.
-
Die Kundendaten sind mittlerweile frei im Internet verfügbar. (Screenshot: arstechnica.com)
Auch verschlüsselte Passwörter sind nicht immer sicher
Adobe hat durch technische Schlamperei dafür gesorgt, dass Millionen von Nutzern jetzt ein massives Sicherheitsproblem bekommen könnten. Sie denken, verschlüsselte Passwörter könne man nicht knacken? Stimmt nicht – zumindest nicht, wenn man wie Adobe eine veraltete Verschlüsselungsmethode einsetzt. Diese verschlüsselt die Passwörter so, dass sich daraus rückwärts wieder Klartext-Passwörter machen lassen – den entsprechenden Schlüssel vorausgesetzt. Dieser scheint zwar von den Hackern nicht mitkopiert worden zu sein. Doch zu erwarten ist, dass sich jetzt weltweit „Blackhats“ – böswillige Hacker – an die Arbeit machen, die Passwörter zu entschlüsseln. Ein schwieriges Vorhaben, aber kein unmögliches.
Besser wäre es gewesen, wenn Adobe dem Stand der Technik nach ein Hash-Verfahren genutzt hätte. Dabei wird lediglich eine Art „Fingerabdruck“ vom Passwort erzeugt, aus dem sich der ursprüngliche Klartext nicht rekonstruieren lässt.
Doch obwohl auch verschlüsselte Passwörter schwer zu knacken sind, dürfte die Entschlüsselung nicht lange auf sich warten lassen. Denn viele Nutzer haben den Hackern quasi „vorgearbeitet“, indem sie in der Erinnerungsfunktion allzu leichte Hinweise auf das Passwort verwendeten. Die Bandbreite reicht hier vom direkt in die Erinnerung geschriebenen Passwort über extrem leichte Fragen („Was ist 2+2?“) bis hin zu einfach recherchierbaren Informationen („Wie lautet der Name meiner Schwester“), die man heutzutage ohne Schwierigkeiten via Facebook und Twitter findet. Zudem dürften viele Hacker selbst Adobe-Kunden sein und könnten somit ihre eigenen E-Mail-Adressen als Vorlagen verwenden, um dem Encrypt-Schlüssel ein Stück näher zu kommen. Und um dem Ganzen noch die Krone aufzusetzen, haben gut 50 Millionen User Passwörter von weniger als sieben Zeichen Länge – die kann ein Hacker durch blosses „Trial & Error“ leicht entschlüsseln.
Bild: Maksim Kabakou / Fotolia.com
Bereits an dieser Stelle sollte klar sein: Wer einen Adobe-Account hat, sollte sein Passwort umgehend ändern. Muss er sogar, denn Adobe zwingt momentan jeden Kunden bei einem Login dazu. Doch auch andernorts sollten Passwörter jetzt geändert werden. Ob Ihre E-Mail-Adresse betroffen ist, können Sie übrigens hier prüfen.
Das grösste Problem: Mehrfach verwendete Passwörter
Experten schätzen, dass bei etwa der Hälfte der 127 Millionen mit Passwörtern ausgestatteten geknackten Adobe-Accounts die Kennwörter auch an anderer Stelle verwendet werden. War das bei Ihnen der Fall? Dann schnell handeln – ein neues Passwort muss her für den E-Mail-Account (den kennen die Hacker ja auf jeden Fall), das Amazon-Konto, das Online-Banking, und, und, und…wem das (verständlicherweise) zu viel zum Merken ist, sollte sich eines Passwort-Managers bedienen.
Ich habe keinen Adobe-Account…und bin doch betroffen?!
Leider ist es so, dass dieser momunentale Hack noch lange seine Kreise im Netz ziehen wird. Denn mit den geklauten Identitätsdaten können ganze Hacker-Armadas jahrelang versorgt werden. Allein die jüngst bekannt gewordene Top-100-Passwortliste der Adobe-Accounts könnte einen neuen Schub in Richtung allgemeines Account-Hacking geben, da Passwörter immer gewissen Trends folgen. Allein mit dieser Liste in der Hand und einem Bruteforce-Tool ausgestattet, könnte ein digitaler Panzerknacker eine Trefferquote von 4,6 Prozent in Bezug auf die Adobe-Datenbank erzielen, da die Top-100-Passwörter von immerhin 5,9 Millionen Nutzern dieser Datenbank verwendet wurden.
Insgesamt wird das Internet durch diesen Datenklau also ein Stück unsicherer.
Titelbild: Maksim Kabakou / Fotolia.com