adobe

Quase 150 milhões de usuários foram afetados pelo vazamento de dados de clientes da Adobe, um número 20 vezes maior do que a empresa havia admitido inicialmente.

No site http://adobe.cynic.al, o programador @Hilare_Belloc criou uma ferramenta que verifica se o seu endereço de email estava na lista do banco de dados de 10Gb que vazou na semana passada. Se o seu endereço de email não estiver na lista você está seguro, mas se estiver, você deve trocar a sua senha o quanto antes, pois há grandes chances da sua senha estar comprometida.

Erro de criptografia

Além de permitir que os dados fossem roubados, a Adobe também cometeu outros dois grandes erros no armazenamento dos dados. O primeiro problema é que todas as senhas foram criptografadas com a mesma chave, e para piorar a situação, o método utilizado na criptografia não protege os dados adequadamente.

O método utilizado, chamado de ECB, faz com que senhas iguais sejam idênticas após a criptografia. Ou sejam se o banco de dados possui quase 2 milhões de senhas criptografadas e que aparecem iguais, como por exemplo “EQ7fIpT7i/Q”, os pesquisadores sabem que todas essas pessoas possuem a mesma senha. A partir daí basta analisar as dicas de senha dos usuários (que não estavam criptografadas) e tentar descobrir a senha.

Nesse exemplo em específico, as dicas continham informações como: “numbers”, “12”, “654321” e “123456”, sendo que o último provavelmente é a própria senha, que foi utilizada por quase 2 milhões de usuários.