Επίλυση Όλων Των Προβλημάτων Των Παραθύρων Και Άλλων Προγραμμάτων

Το Adobe hack δείχνει προσοδοφόρους στόχους προμηθευτών λογισμικού συνδρομής

Η Adobe την Πέμπτη παραδέχτηκε ότι χάκερ εισέβαλαν στο δίκτυό της και έκλεψαν προσωπικές πληροφορίες, συμπεριλαμβανομένων περίπου 2,9 εκατομμυρίων πιστωτικών καρτών, απεικονίζοντας τον προσοδοφόρο στόχο που έχουν γίνει οι πάροχοι λογισμικού ανά συνδρομή για εγκληματίες στον κυβερνοχώρο, δήλωσαν σήμερα αναλυτές.

«Ακόμη και πριν από την είσοδό τους στο cloud, οι μηνιαίες εταιρείες-λογαριασμοί ήταν στόχος», δήλωσε ο John Pescatore, διευθυντής των αναδυόμενων τάσεων ασφάλειας στο Ινστιτούτο SANS και πρώην αναλυτής της Gartner που επικεντρώθηκε στην ασφάλεια. «Αυτό είναι ένα ζήτημα για τους παρόχους φιλοξενίας [Web] εδώ και χρόνια. Υπάρχουν δύο λόγοι για τους οποίους. Πρώτον, έχουν μια τράπεζα πιστωτικών καρτών. Και δεύτερον, ξέρετε ότι οι κάρτες είναι καλές ».



Η Adobe, εδώ και πολύ καιρό μια ισχυρή βιομηχανία στη βιομηχανία λογισμικού, προωθεί επιθετικά το Creative Cloud, την προσφορά λογισμικού ανά συνδρομή, μια αλλαγή που ελπίζει ότι θα «μεταμορφώσει το επιχειρηματικό μας μοντέλο και θα οδηγήσει σε υψηλότερη αύξηση εσόδων», σύμφωνα με μια κατάθεση με τις αμερικανικές κινητές αξίες και Επιτροπή Ανταλλαγής (SEC) νωρίτερα φέτος.



Όπως όλα τα λογισμικά ως υπηρεσία (SaaS), το Creative Cloud βασίζεται σε επαναλαμβανόμενες πληρωμές-μηνιαίες ή ετήσιες-που για τους περισσότερους πελάτες σημαίνει παροχή πιστωτικής κάρτας. Ο πάροχος αποθηκεύει τα στοιχεία της κάρτας, ώστε να μπορεί να χρεώνει τον πελάτη χωρίς να στέλνει έναν παραδοσιακό λογαριασμό, και το σημαντικότερο, να περιμένει την πληρωμή.

Και αυτές οι πιστωτικές κάρτες είναι πολύτιμες για τους χάκερ. 'Οι κλεμμένοι αριθμοί πιστωτικών καρτών μόνο θα μπορούσαν να αξίζουν έως και 30 εκατομμύρια δολάρια στη μαύρη αγορά', δήλωσε ο Rajesh Ramanand, Διευθύνων Σύμβουλος της Signifyd, μιας εταιρείας προστασίας απάτης στη Σάντα Κλάρα της Καλιφόρνια, σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου σχετικά με την παραβίαση της Adobe.



Η Adobe δεν είναι ο μόνος κατασκευαστής λογισμικού που προσπαθεί να μεταναστεύσει από πακέτο λογισμικού που πωλούνται με μια διαρκή άδεια σε συνδρομές που μοιάζουν με ενοικίαση και πρέπει να πληρώνονται τακτικά. Η Microsoft, για παράδειγμα, εργάζεται σκληρά για να πείσει τους πελάτες να υιοθετήσουν την υπηρεσία συνδρομής του Office 365.

Οι αριθμοί SaaS - των συνδρομητών και επομένως των πιστωτικών καρτών - αυξήθηκαν σημαντικά τόσο στην Adobe όσο και στη Microsoft, για να χρησιμοποιήσουμε δύο παραδείγματα. Τον περασμένο μήνα, η Adobe δήλωσε ότι το Creative Cloud είχε 1,03 εκατομμύρια συνδρομητές, σε καλό δρόμο προς τον στόχο του τέλους του έτους 1,25 εκατομμύρια. Επίσης, τον Σεπτέμβριο, η Microsoft είπε ότι το Office 365 Home Premium - η έκδοση που απευθύνεται στους καταναλωτές και απαιτεί την παράδοση πιστωτικής κάρτας στη Microsoft - είχε 2 εκατομμύρια συνδρομητές, 100% υψηλότερα από το 1 εκατομμύριο τον Μάιο.

γραφείο 2010 τέλος ζωής

Και η παραβίαση θα κοστίσει στην Adobe εκατομμύρια έξοδα ειδοποίησης και προστασίας, καθώς έχει υποσχεθεί ότι θα προσεγγίσει τους επηρεαζόμενους πελάτες και θα τους παρέχει ένα δωρεάν έτος πιστωτικής παρακολούθησης. «Αυτό θα τους κοστίσει 100 δολάρια ανά χρήστη», δήλωσε ο Πεσκατόρε, κάτι που θα σήμαινε έξοδα σχεδόν 300 εκατομμυρίων δολαρίων.



Η Adobe διαφώνησε. Σε ένα κατάθεση με την SEC στις 3 Οκτωβρίου, την ίδια ημέρα που αποκάλυψε τη διάρρηξη του δικτύου, η εταιρεία αναγνώρισε την παραβίαση, αλλά είπε: «Αυτή τη στιγμή, δεν πιστεύουμε ότι οι επιθέσεις θα έχουν ουσιώδεις αρνητικές επιπτώσεις στις επιχειρήσεις ή τα οικονομικά μας Αποτελέσματα.' Δεν αποτελεί έκπληξη το γεγονός ότι η εταιρεία συμπεριέλαβε επίσης μια προειδοποίηση, προσθέτοντας: «Είναι πιθανό, ωστόσο, ότι αυτό το περιστατικό θα μπορούσε να έχει διάφορες δυσμενείς επιπτώσεις σε εμάς».

Άλλοι ειδικοί ήταν σκεπτικοί ότι οι εγκληματίες στον κυβερνοχώρο έβαλαν στόχο την Adobe για το θησαυρό της πιστωτικής της κάρτας.

«Η πιθανή φιλοδοξία εδώ αφορούσε περισσότερο το γεγονός ότι η Adobe ήταν από καιρό στόχος και τα προϊόντα της είχαν δεχθεί πολύ μεγάλη επίθεση», δήλωσε ο Lawrence Pingree της Gartner. «Νομίζω ότι κυριολεκτικά ψάρευαν για δεδομένα και έπεσαν πάνω στις πιστωτικές κάρτες. Οι χάκερ συνήθως δεν γνωρίζουν με βεβαιότητα πού θα βρουν δεδομένα ».

Ο Pingree υπέθεσε ότι το πιθανό κίνητρο για την παραβίαση του δικτύου της Adobe ήταν να παρασύρει ονόματα χρηστών και κωδικούς πρόσβασης λογαριασμών και όχι πιστωτικές κάρτες.

Το στοίχημά του βασίστηκε στην πρακτική πολλών χρηστών να ανακυκλώνουν κωδικούς πρόσβασης και ακόμη και ονόματα χρηστών για πολλούς λογαριασμούς, συμπεριλαμβανομένου του ηλεκτρονικού ταχυδρομείου Ιστού. Οπλισμένοι με τα ονόματα χρήστη και τους κωδικούς πρόσβασης της Adobe - η εταιρεία είπε ρητά ότι μόνο οι τελευταίοι ήταν κρυπτογραφημένοι - οι χάκερ θα μπορούσαν είτε να τα πουλήσουν σε άλλους είτε να τα εκμεταλλευτούν οι ίδιοι εάν κατορθώσουν να αποκρυπτογραφήσουν τους κωδικούς πρόσβασης.

«Επειδή τα μηνύματα ηλεκτρονικού ταχυδρομείου χρησιμοποιούνται για την επαναφορά κωδικών πρόσβασης σε τράπεζες, τα ονόματα χρηστών και οι κωδικοί πρόσβασης είναι ένας θησαυρός», δήλωσε ο Pingree. 'Εάν μπορώ να θέσω σε κίνδυνο το ηλεκτρονικό ταχυδρομείο, μπορώ να φτάσω σε σχεδόν οποιαδήποτε υπηρεσία.'

Συμπεριλαμβανομένης της πρόσβασης στην τραπεζική μέσω διαδικτύου. Εξοπλισμένοι με αυτοματοποιημένα εργαλεία που συνδέουν πολλαπλές τράπεζες με το όνομα χρήστη και τον κωδικό πρόσβασης, οι χάκερ μπορούν να αναζητήσουν γρήγορα αντιστοιχίες και, στη συνέχεια, όταν το βρουν, να αδειάσουν γρήγορα έναν τραπεζικό λογαριασμό, μεταφέροντας χρήματα στους δικούς τους λογαριασμούς στο εξωτερικό.

Ο Pingree θεώρησε ότι τα δεδομένα ονόματος χρήστη/κωδικού πρόσβασης ήταν πιο προσοδοφόρος στόχος από τις πιστωτικές κάρτες λόγω του εξελιγμένου εντοπισμού απάτης της τελευταίας βιομηχανίας. «Ο αυτοματισμός που αναπτύσσεται από τις εταιρείες πιστωτικών καρτών καταλαβαίνει τα πρότυπα χρήσης των συναλλαγών. είναι πιο χρήσιμο για τους κακούς να μεταφέρουν χρήματα από λογαριασμούς [τραπεζών] ».

Ο Chet Wisnieswki, ερευνητής ασφαλείας στην εταιρεία ασφάλειας Sophos με έδρα το Ηνωμένο Βασίλειο, κατηγόρησε την Adobe ότι δεν κρυπτογραφεί όλα τα δεδομένα μη πιστωτικών καρτών. 'Πώς και δεν κρυπτογραφήσατε την ημερομηνία γέννησής μου;' ρώτησε ρητορικά ο Βίσνισουκι. «Γιατί να κρυπτογραφήσετε μόνο τα πράγματα που απαιτούνταν από το PCI [το πρότυπο ασφαλείας για οργανισμούς που χειρίζονται πληροφορίες κατόχου καρτών]; Η ημερομηνία γέννησής μου είναι επίσης μέρος της ταυτότητάς μου.

«Δεν είμαι πραγματικά κολλημένος για μια κλεμμένη πιστωτική κάρτα», συνέχισε ο Wisnieswki. «Αλλά ανησυχώ πολύ για τα προσωπικά δεδομένα, για κάποιον που χρησιμοποιεί ότι να πάρω άλλες πέντε πιστωτικές κάρτες στο όνομά μου ».

Αλλά ανεξάρτητα από το αν οι επιτιθέμενοι στόχευαν ή όχι την Adobe για τις πιστωτικές κάρτες, το γεγονός ότι κέρδισαν εκατομμύρια είναι ένα μαύρο μάτι για την εταιρεία και το μοντέλο συνδρομής της, συμφώνησαν οι ειδικοί.

τα windows 10 είναι σταθερά τώρα

Η Adobe το αναγνώρισε. Στην κατάθεση της 3ης Οκτωβρίου στην SEC, η Adobe χρησιμοποίησε τη γλώσσα των μετοχών για να καθορίσει τους κινδύνους παραβίασης, λέγοντας ότι μπορεί να ανοίξει η εταιρεία σε δικαστικές διαφορές και «να βλάψει τη φήμη μας, να οδηγήσει σε απώλεια πελατών και να βλάψει την επιχείρησή μας».

Επειδή άλλες εταιρείες με πολύ περισσότερες πιστωτικές κάρτες - οι αναλυτές ανέφεραν το Amazon ως παράδειγμα, το PayPal επίσης - δεν έχουν παραβιαστεί ή τουλάχιστον δεν έχουν παραδεχτεί, οι εμπειρογνώμονες αντιπαραθέτουν τις πρακτικές αυτών των εταιρειών με τις Adobe καθώς έφτασαν σε εξήγηση. της αποτυχίας του τελευταίου.

«Οι εταιρείες που μεγάλωσαν στο cloud ή στο ηλεκτρονικό εμπόριο γνωρίζουν ότι τα κοσμήματά τους είναι τα δεδομένα χρέωσης πελατών, οπότε από την πρώτη μέρα τα προστατεύουν », είπε ο Πεσκατόρε. Οι εταιρείες που έχουν μετατοπιστεί από πωλητές λογισμικού σε πάροχους συνδρομών, είπε ο Pescatore, δεν το έχουν στο DNA τους. Ακόμη.

Τα πρότυπα PCI, όπως και τα τρία, είναι απλώς μια βασική γραμμή, αλλά δεν είναι αρκετά. «Το PCI είναι το ελάχιστο», είπε ο Pingree. «Οι εταιρείες με μεγάλο αριθμό πιστωτικών καρτών πρέπει να προχωρήσουν πέρα ​​από εκεί που πηγαίνουν οι περισσότερες εταιρείες, επειδή είναι πάντα μεγάλη υπόθεση όταν μερικά εκατομμύρια πιστωτικές κάρτες αγριεύουν».

Ακόμα κι αν το χτύπημα είναι κυρίως από αρνητική δημοσιότητα, είπε ο Wisnieswki.

Η Wall Street, ωστόσο, ουσιαστικά χασμουρήθηκε: Ενώ η τιμή της μετοχής της Adobe μειώθηκε κατά 1,4% την περασμένη Πέμπτη, την Παρασκευή ανέκαμψε, κλείνοντας στα δύο σεντ κάτω από την τιμή ανοίγματος της Πέμπτης.

Αλλά ο Pescatore δεν είναι αναλυτής της Wall Street και είχε πιο σκληρά λόγια για την Adobe και άλλες εταιρείες που, ενώ παραδέχονταν παραβιάσεις, δεν έλεγαν σχεδόν τίποτα για το τι θα έκαναν για να βεβαιωθούν ότι δεν θα επαναληφθεί.

«Θα εργαστούμε επιθετικά για να αποτρέψουμε αυτού του είδους τα γεγονότα στο μέλλον», δήλωσε η Adobe την Πέμπτη Ιστολόγιο Θέση.

«Νομίζω ότι είμαστε πέρα ​​από το σημείο όπου αυτές οι αποκαλύψεις είναι πολύτιμες», είπε ο Πεσκατόρε. «Οι εταιρείες πρέπει να μας πουν γιατί συνέβη η παραβίαση και γιατί δεν πρόκειται να συμβεί ξανά. Όταν ένας σύνδεσμος χάμπουργκερ λέει ότι το κρέας αρουραίου βρέθηκε στο μπιφτέκι ενός πελάτη, δεν αρκεί να πούμε απλώς σε όλους τους πελάτες, «Γεια, βρήκαμε κρέας αρουραίου». Αυτό που θέλετε να ακούσετε είναι γιατί δεν θα είναι μέσα τα δικα σου μπιφτέκι αν πάτε ξανά εκεί.

«[Το hack της Adobe] είναι σαν να κλέφτες εισέβαλαν σε μια εταιρεία αρουραίων-μπιφτέκι και έκλεψαν τις προσωπικές πληροφορίες όλων όσων αγόρασαν τα μπιφτέκια αρουραίων», κατέληξε ο Πεσκατόρε.

Μη ορεκτικό. Αλλά τότε, έτσι είναι και η προοπτική να χυθεί πάνω από τις καταστάσεις πιστωτικών καρτών και να αλλάξει ποιος ξέρει πόσα διαπιστευτήρια λογαριασμού.

Γκρεγκ Κάιζερ καλύπτει τη Microsoft, θέματα ασφάλειας, Apple, προγράμματα περιήγησης στο Web και γενικές ειδήσεις τεχνολογίας για Computerworld Ε Ακολουθήστε τον Gregg στο Twitter στη διεύθυνση @gkeizer , ή εγγραφείτε στη ροή RSS του Gregg. Η ηλεκτρονική του διεύθυνση είναι gkeizer@ix.netcom.com Ε

Επιλογή Συντάκτη

EMC VNXe 3100: Γλυκό αρχικό επίπεδο NAS και SAN

Το EMC παρέχει έναν ολοκληρωμένο πίνακα αποθήκευσης για όλες τις χρήσεις, προσαρμοσμένος στον γενικό πληροφορικής και τον προϋπολογισμό των μικρών επιχειρήσεων

Η Microsoft ξεκινά την κυκλοφορία διορθώσεων για σφάλματα της Access που παρουσιάστηκαν στις ενημερώσεις κώδικα ασφαλείας του Office αυτόν τον μήνα

Αν έχετε δει νέα σφάλματα 'Το ερώτημα είναι κατεστραμμένο' της Access, πιθανότατα προκαλούνται από σφάλματα διορθώσεων του Office που κυκλοφόρησαν την Τρίτη Patch την περασμένη εβδομάδα. Η Microsoft έχει ξεκινήσει να κυκλοφορεί επιδιορθώσεις για τις κακές ενημερώσεις κώδικα ασφαλείας του Office. Ένα από αυτά, για την Access 2016, έφτασε χθες.

Ένα μικρό εγχειρίδιο έργου

Οι προπονητές ποδοσφαίρου χρησιμοποιούν βιβλία παιχνιδιών για να εξασφαλίσουν ακριβή επικοινωνία και συντονισμό μεταξύ των μελών της ομάδας σε μεγάλη περιοχή. Ένα βιβλίο αναπαραγωγής έργου μπορεί να εξυπηρετήσει τον ίδιο σκοπό.

Το Google Analytics βρίσκεται σε διακοπή δεδομένων από το Σάββατο

Το Google Analytics σταμάτησε να αναφέρει δεδομένα παρακολούθησης επισκεψιμότητας ιστότοπου στους χρήστες το Σάββατο. Η Google χαρακτήρισε τη δυσλειτουργία «προσωρινή καθυστέρηση αναφοράς».

Γιατί οι αναβαθμίσεις Android έχουν απόλυτη σημασία

Εάν πιστεύετε ότι οι ενημερώσεις του λειτουργικού συστήματος Android είναι σχετικές μόνο για αυτό που βλέπετε στην επιφάνεια, δεν σκέφτεστε αρκετά βαθιά.