Adobe ha subito un attacco informatico di grandi proporzioni, che ha portato alla sottrazione dei dati personali di 2,9 milioni di clienti. Le informazioni rubate includono anche numeri di carta di credito, come ha spiegato la stessa azienda con un post sul blog aziendale - specificando inoltre che i clienti colpiti saranno contattati anche in modo più diretto, tramite posta elettronica.
"Al momento non crediamo che i ladri abbiamo sottratto numeri di carta di credito o di debito non crittografati", si legge sulla comunicazione di Adobe. È quindi legittimo sperare che i malviventi dovranno darsi da fare per usare quelle carte di credito, perché superare una protezione crittografica può richiedere davvero molto sforzo – si spera troppo affinché ne valga la pena. Ed è altrettanto lecito supporre che Adobe abbia scelto i protocolli crittografici migliori tra quelli attualmente a disposizione.
"Come precauzione stiamo ripristinando la password (qui la procedura) dei clienti per aiutare a prevenire l'accesso non autorizzato agli account Adobe", continua poi il comunicato. Si tratta in questo caso di un precauzione aggiuntiva, non di una riparazione: tra i dati sottratti non ci dovrebbe essere alcuna password, perché generalmente vengono salvati solo gli hash corrispondenti. Un criminale potrebbe "indovinare" una password con una discreta precisione, avendo a disposizione tempo sufficiente e informazioni sul proprietario della password stessa. Una ragione in più per usare programmi che ne generino di automatiche.
Oltre al ripristino della password per gli account colpiti, in ogni caso, Adobe si offre anche di pagare per un anno il servizio di protezione aggiuntiva da addebiti non dovuti sulle carte di credito, in quei paesi dove tale servizio esiste.
Oltre ai clienti anche la stessa Adobe è stata presa di mira: l'intrusione infatti ha portato alla sottrazione del codice sorgente di alcuni prodotti: Adobe Acrobat, ColdFusion e ColdFusion Builder. Il codice si può usare per creare (e vendere) versioni illegali dello stesso software, o per sottrarre e commerciare segreti industriali – se ce ne sono. Oltre che ovviamente per individuare falle di sicurezza e confezionare exploit ad hoc.
"Non siamo a conoscenza di attacchi zero-day contro i prodotti Adobe", si legge in un comunicato separato, "ma, come sempre, raccomandiamo ai clienti di usare solo versioni supportate del software, applicare tutti gli aggiornamenti di sicurezza e seguire (i nostri consigli)".
A notare per primo i segnali dell'attacco è stato Brian Krebs, che poi ha avviato le indagini insieme al collega Alex Holden (Hold Security LLC). Solo ieri però l'esperto di sicurezza ha ricevuto conferma ufficiale da Adobe, insieme a un dettaglio: l'azienda sta investigando almeno dal 17 settembre scorso, e ritiene che l'intrusione risalga alla metà di agosto.