Nieuws

1,9 miljoen Adobe-gebruikers hadden '123456' als wachtwoord

dinsdag 5 november 2013, 11:58 door Redactie, 5 reacties

Ruim 1,9 miljoen Adobe-gebruikers van wie de gegevens onlangs door aanvallers van Adobe's netwerk werden gestolen, gebruikten '123456' als wachtwoord. Dat blijkt uit een analyse van de versleutelde wachtwoorden. Adobe gebruikte zwakke encryptie voor de opslag van wachtwoorden.

Daardoor is het mogelijk om alle versleutelde wachtwoorden te ontsleutelen door één encryptiesleutel te achterhalen. Hoewel deze sleutel nog niet is achterhaald, kunnen onderzoekers aan de hand van de versleutelde weergave van de wachtwoorden wel afleiden welk wachtwoord een deel van de gebruikers gebruikten.

De data is namelijk met het Triple DES encryptiealgoritme beschermd. Voor de encryptie gebruikte Adobe een mode genaamd ECB, zo ontdekten onderzoekers. ECB lekt vaak informatie over wachtwoorden, zoals de paar laatste karakters en de lengte van de wachtwoorden. Daardoor konden onderzoekers van de Stricture Consulting Group een overzicht van de 100 meest gebruikte wachtwoorden maken.

Daaruit blijkt dat 1,9 miljoen accounts het wachtwoord 123456 gebruikten, gevolgd door 123456789, dat 446.000 keer werd aangetroffen. De analyse van de onderzoekers is gebaseerd op 130 miljoen accounts. Adobe liet weten dat 38 miljoen accounts geldig waren, de rest was inactief of ongeldig. Hieronder de Top 20 aangetroffen wachtwoorden.

Vrees voor uitlevering Britse hackverdachte aan VS

Cisco waarschuwt voor verkeer op TCP-poort 0

Reacties (5)

05-11-2013, 13:05 door Briolet - Bijgewerkt: 05-11-2013, 13:06

De analyse van de onderzoekers is gebaseerd op 130 miljoen accounts. Adobe liet weten dat 38 miljoen accounts geldig waren, de rest was inactief of ongeldig.

3/4 van de accounts waren dus ongebruikt. Hoeveel daarvan waren test account waar mensen mee gespeeld hebben en even een simpel wachtwoord gebruikt hebben. Dit met het idee om het wachtwoord later wel in een echt wachtwoord te veranderen.

05-11-2013, 13:38 door WhizzMan

Het ligt voor de hand dat mensen zwakke wachtwoorden kiezen voor "wegwerpaccounts". De waanzin dat je overal maar je gegevens moet achterlaten om iets op een website te mogen heeft als gevolg dat mensen rotzooi gaan invullen. Als zo'n database dan eens gestolen wordt, kom je veel rotzooi tegen.

05-11-2013, 15:35 door Anoniem

Dit incident is precies de reden dat je wegwerpaccounts moet gebruiken, liefst in combinatie met een wegwerpmailbox om de 'fantastische aanbiedingen' te omzeilen. En het is inderdaad niet meer dan logisch dat je een eenvoudig password kiest voor dat account. Natuurlijk moet je op elke website een uniek, complex password gebruiken, maar dan wel alleen als zo'n site ertoe doet.

Adobe is een security-nachtmerrie. Zowel online als applicatief. En als je puur kijkt naar Adobe Reader, na Java de meest misbruikte software, dan is dat een applicatie waar niemand echt op zat te wachten. Ineens moesten we PDF's kunnen lezen en daarmee werd de deur opengezet voor een eindeloze stroom vulnerabilities. Datzelfde geldt voor Java trouwens, je MOET het installeren en de installer van die software is tegelijkertijd een transportmiddel voor spyware door alle toolbars die je meegeleverd krijgt. Welke IT'er heeft nog nooit alle toolbars bij die kennis moeten verwijderen?

Misschien gloort er voorzichtig wat hoop en gaan ze bij adobe eindelijk eens begrijpen dat we niet zitten te wachten op hun rommel.

05-11-2013, 17:31 door Anoniem

Mijn eerste reactie was "whoo nog zeveel domme mensen" mijn tweede reactie "Waarom moet je eigenlijk een Adobe account hebben". Sorry ik zie het nut er niet van in blijkbaar als je hun software download? van de 130 miljoen slecht 38 miljoen actief. 100 miljoen weten dus ook niet waarom ze dat account voor nodig hadden. blijft de vraag is die 1.9 miljoen van alle account of van de actieve accounts.
Wat is eigenlijk de schade als iemand jou adobe wachtwoord weet?

Heeft iemand een account en kan mij vertellen waarom je die hebt. Ik heb namelijk geen idee.

05-11-2013, 23:10 door Anoniem

Ik heb een Adobe-account, waarvan de gegevens zijn buitgemaakt. Volgens mij moest ik die aanmaken voor Adobe Digital Editions. Maar dat weet ik niet helemaal zeker meer. Ik weet alleen dat adobe me hierover gemaild heeft.
Plus dat het mailaccount dat als username werd gebruikt meteen vroeg om een controle en een passwordreset wegens ongebruikelijke activiteit, dus mijn conclusie is dat er al actief misbruik wordt gemaakt van de gestolen gegevens. Gelukkig had ik twee verschillende wachtwoorden...

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer