ハッカーがAdobeから顧客情報やパスワードなど15万件を盗んだことを公開

Photo by @matylda

自称エジプト人ハッカー「ViruS_HimA」と名乗る人物によってAdobeのデータベースがハッキングを受け、アメリカ陸軍や空軍、NASA、Googleをはじめとするパートナーや顧客らのメールアドレス、パスワードなどを含む15万件以上のデータが盗まれたことが明らかになりました。これはハッカー自身が明かしたものですが、このハッカーはすべての情報をネット上で公開したりするつもりでやったわけではなく、Adobeのセキュリティ体制を見直して欲しいとコメントしています。

Adobe data leak by Virus_Hima - Pastebin.com
http://pastebin.com/Bf9uv4hR



Adobe investigating customer data breach by hacker 'ViruS_HimA' - Techworld.com
http://news.techworld.com/security/3410894/adobe-investigating-customer-data-breach-by-hacker-virushima/



Adobe Hacker Says He Used SQL Injection To Grab Database Of 150,000 User Accounts - Dark Reading
http://www.darkreading.com/database-security/167901020/security/attacks-breaches/240134996/adobe-hacker-says-he-used-sql-injection-to-grab-database-of-150-000-user-accounts.html



攻撃者は「ViruS_HimA」と名乗っており、エジプト人ハッカーであると自称していますが、「1337年生まれだよ :P」とも書いているため、本当にエジプト人なのかどうかは不明。

この自称エジプト人ハッカーHimAは、SQLインジェクションを利用して、ウェブ会議ソフトウェア「Adobe Connect」のサーバーであるConnectusers.comに侵入。フルアクセス権を得て、サーバーからメールアドレスやパスワードなどを含む15万件以上の顧客個人情報と、「Adobe従業員」「アメリカ陸軍」「アメリカ空軍」「Google」「NASA」「.edu(教育関係者)」などのパートナー情報(こちらもメールアドレスやパスワードを含む)を盗み出しました。

HimAによると「Adobeのビジネスに損害を与えるつもりでやったことではない」とのことで、顧客個人情報については漏らすつもりはないようですが、メールアドレスのうち@以降が「adobe.com」「*.mil」「*.gov」のものについてはハッキングの証拠としてスクリーンショットとともに公開するつもりだとのこと。

実際にHimAがサンプルとして公開しているデータの一部。コメントの通り、Adobeや米軍、政府関係者などの情報を得ているらしいことが読み取れます。


ハッキングの理由について、Adobeが非常に大きな企業であるがゆえに、セキュリティ問題で脆弱性の報告を受けても通知までに5~7日、実際に対応するまでには3~4カ月もかかっており、大手企業であればもっと早く反応し、できる限り早く解決すべきだということを挙げています。HimAは「MicrosoftやYahoo!のセキュリティチームのようにはならないで欲しい。Googleのセキュリティチームのようになるべきだ」とコメントしています。

Adobe ConnectのGuillaume Privatディレクターはこのハッキングが事実であることを認め、影響を受けたアカウントについてパスワードリセットの方策を進めています。

なお、セキュリティ研究者のTal Beery氏は、リストの公開された部分について調査を行ったところ、すでにAdobeを退職した人物がまだ在職していることになっていたり、linkedin.comの登録データとの相違が見られるため、ハックされたデータベースがわりと古いものなのではないかと推測しています。

HimAはその“犯行声明”を「次はYahoo!だ」と締めくくっており、今後も同様の活動が行われるとみられます。

・関連記事
1200万ものiPhone/iPadの個人情報がハッキングで漏洩、証拠として一部抽出した約100万のデータがダウンロード可能に - GIGAZINE

町長が自分の解任を要求していたウェブサイトをハッキングして逮捕 - GIGAZINE

IT部門の職を求めてシステムをハッキングした男が逮捕される - GIGAZINE

フランスのサルコジ大統領の口座をハッキングした2人のコンゴ人を逮捕 - GIGAZINE

ハッカー養成サイトで技術指導やツール配布を行っていたメンバー3人を中国政府が逮捕 - GIGAZINE

ハッカー集団によるApple製品個人情報窃盗の流出元はFBIではなく出版社 - GIGAZINE

誰もソフトを更新してくれないためアドビやSkypeが更新キャンペーンを開始 - GIGAZINE

in メモ, Posted by logc_nt