Adobe ma wyciek

Wielokrotnie pisaliśmy o niebezpieczeństwie bezpiecznych rozwiązań.
Często temat sprowadzał się do tak modnych obecnie chmur,
ale jak za chwilę się przekonasz, nie tylko o chmury chodzi.
Najczęściej gdzieś w tym krajobrazie, na boku lub w tle,
pojawiała się firma Adobe. Czas więc na pierwszy plan!

 

Od kilkunastu godzin wiadomo, że Adobe utracił kontrolę nad danymi sensytywnymi swoich klientów. Imiona, nazwiska, numery kart kredytowych, daty ich ważności… wszystko jest gdzieś tam, nie wiadomo gdzie, ale wiadomo, że nie tylko na serwerach firmy, w którym to miejscu, i tylko w nim, powinny znajdować się w tej chwili.

Adobe twierdzi w swoim Alercie, że numery kart kredytowych, które wyciekły, są zaszyfrowane, w domyśle więc bezpieczne. Do czasu, powie ci każdy, kto się na tym zna. Do czasu, bo jak mówi nawet sama firma Adobe:

Na tę chwilę [podkreślenie autora] nasze dochodzenie wykazało, że osoby atakujące uzyskały dostęp do niektórych informacji o klientach […]
Alert dotyczący zabezpieczeń dla klientów Adobe

A gdy już zostaną rozszyfrowane, bo chyba nikt nie wątpi, że nie ma takiej rury, której nie da się odetkać, wtedy zakupy na Amazonie stoją otworem, bo kombinacja imię-nazwisko-numer karty-data ważności wystarcza, gdyż Amazon nie stosuje zabezpieczenia CVV.

 

Część osób cieszy się, że posiadają wersję pudełkową oprogramowania Adobe i nie korzystają z chmury Creative Cloud, więc ich dane są bezpieczne:klosinski net, facebook, zrzut ekranu

Czy na pewno?
Jeśli posiadają wersje pudełkowe starsze niż Adobe Creative Suite 1 (z małą poprawką na nieaktywujące się już CS1), to są raczej (o czym za chwilę) bezpieczni, ale z powyższego zrzutu ekranu widać, że mowa jest o względnie nowych wersjach oprogramowania Adobe.
Z trudnością przychodzi więc nam poinformować, że te wersje też wymagają aktywacji, a nawet konta w domenie Adobe… tak, tej samej, z której wypłynęło właśnie prawie 3 mln danych.

To chyba jednak nie koniec, a raczej… czubek góry lodowej. Adobe dodaje także:Co jeszcze zginęło Adobe?Czy to aby nie oznacza, że zginęły także numery seryjne do starszych wersji programów? Te same seriale, do których rejestracji Adobe na stronie firmy tak namolnie namawia od lat? Jeśli to będzie prawda, czy nie rozszerza to kręgu klientów poszkodowanych wyciekiem? Zdziwilibyśmy się, gdyby ww. informacja uspokoiła Magdalenę, Agatę i Monikę…

 

Kto jeszcze powinien czuć się mało komfortowo w tej sytuacji?
Nie ukrywamy, my, Polacy, zawsze mamy pod górkę!
To prawda, że Adobe opublikował na swoich polskich stronach informację w języku polskim o sytuacji i, mniej lub bardziej niewylewnie, o grożących klientom zagrożeniach. Jest też kontakt z firmą:Adobe, informacja, co masz zrobić w wypadku, gdy dotknięty zostaniesz wyciekiem danych z Adobe

Tymczasem na Facebooku
Adobe Polska z cudowną beztroską podszedł do dzisiejszego wycieku danych:Adobe na Facebooku

W trakcie pisania tego artykułu sprawdzaliśmy wielokrotnie na profilu Adobe Polska na Facebooku — bowiem rzetelność to jest to, co lubimy najbardziej — co na to Adobe?! Ostatni raz sprawdzaliśmy kilkadziesiąt sekund temu i nic się nie dzieje, nic się nie zmienia, więc chyba wszystko jasne…

I co teraz?! Dobre pytanie.
Zwróć uwagę na podkreślenie, tylko klient zachował czujność… i to jest chyba jedyna rada: zachować czujność!
Nie tylko w tej sprawie, ale w każdej, gdzie masz do czynienia z chmurą, subskrypcjami czy elektronicznym zapisem twojego stanu posiadania.
Szczególnie, jeśli ktoś uzurpuje sobie prawo do przechowywania i zarządzania twoimi danymi osobowymi lub prywatnymi plikami, tak prywatnymi, że Zbiornik bardzo by się ucieszył na ich widok

 

Post Scriptum.
Adobe właściwie sam zgotował sobie ten los, zmieniając model biznesowy i opierając się na subskrypcjach, dla których bazą są serwery firmy.
Czy to oznacza, że mogą cieszyć się ci z nas, którzy uważają, że Adobe przemyśli sensowność świadczenia usług subskrypcyjnych (czytaj, wróci do tradycyjnej dystrybucji oprogramowania)?
Owszem, i tu chcielibyśmy się mylić, ale jak wskazuje praktyka firmy, z pewnością przemyśli, a przemyślenia zakoduje w nowym, jeszcze bardziej restrykcyjnym regulaminie, wykluczającym w sposób maksymalnie dozwolony jakąkolwiek odpowiedzialność firmy za szkody klientów, który trzeba będzie zaakceptować, by móc skorzystać z usługi.

Kolejne wycieki danych klientów, które mogą zagrozić tymże klientom i ich interesom, każą zastanowić się, czy nie jesteśmy aby w permanentnym stanie zagrożenia, a ryzyko, skutki i koszty utraty danych klientów zostały wkalkulowane w koszty działalności wielkich firm i tymczasowo tylko, bo nie pozwalają na to obecne przepisy i niekiedy silne federacje konsumenckie, jeszcze nie zostały przerzucone na klientów.
Zresztą, patrz i czytaj, może poczujesz się lepiej:

Cyber attacks are one of the unfortunate realities of doing business today. Given the profile and widespread use of many of our products, Adobe has attracted increasing attention from cyber attackers.
[…]
We value the trust of our customers. We will work aggressively to prevent these types of events from occurring in the future. Again, we deeply regret any inconvenience this may cause you.
— Brad Arkin, Adobe Chief Security Officer

Zastanów się, co nam to mówi, że największe firmy, z dostępem do najnowszych i najlepszych technologii oraz najbardziej poszukiwanych specjalistów, cyklicznie stają się negatywnymi bohaterami afer z wyciekiem danych… a potem publikują coś, co w najlepszym przypadku dobrze wychowany Anglik nazwałby terminem: excuses.

Pal sześć, kiedy sprawa dotyczy konsol służących rozrywce (co nie znaczy, że jest nieważna), ale ten wyciek oznaczać może zastopowanie wielu podmiotów komercyjnych, nie wiadomo na jak długo, oznacza też konieczność obsługi tej sytuacji (zmiany danych, zastrzeżenie kart itd. nie zrobią się same i za darmo).
Czy Adobe wyłączył (a przynajmniej próbował wyłączyć) odpowiedzialność za wyżej wymienione, sprawdź w licencji.
Czego możemy się spodziewać po tych małych firmach, jeśli te duże pozwalają sobie na takie scenariusze?

Nie trzeba być Nostradamusem naszych czasów, by wiedzieć od początku, lub szybko zorientować się, że ten moment musiał nadejść.
To takie oczywiste w świecie ujawnionych przez Snowdena sekretów.
W świecie, w którym wielkie firmy technologiczne (do których Adobe przecież też należy) współpracują z podmiotami zainteresowanymi w operowaniu danymi sensytywnymi (a więc muszą znać ograniczenia i słabości znanych sobie rozwiązań kryptograficznych).

Nie da się chyba już za długo utrzymywać klientów w przeświadczeniu, że proponowane przez firmy technologiczne rozwiązania są bezpieczne — bezpieczne w ogóle, bo nie można być mniej lub bardziej bezpiecznym — więc to bardzo dobre pytanie, co dalej?!
W świecie „rozproszonej odpowiedzialności” (taki tam eufemizm) najpierw Adobe odebrał nam wybór formy zakupu, teraz utracił dane swoich klientów, czym zaskoczy nas jutro?

 

_

Czytaj dalej na blogu Creamteam Branding & Advertising Design Studio:

8 Pingbacków/ Trackbacków