Co lze vyčíst z nového útoku na Adobe

Podle analytiků tento poslední útok ilustruje, jak lukrativním cílem poskytovatelé softwaru s platbami na měsíční bázi pro útočníky jsou.
„I před tím, než se objevily na cloudu, byly firmy účtující si od uživatelů měsíční poplatky za své služby pro útočníky zajímavým cílem,“ říká John Pescatore ze SANS Institute. „Poskytovatelé se tímto problémem zabývají již roky a existují dva důvody, proč tomu tak je. První: mají uloženo velké množství údajů z platebních karet. Za druhé: je jasné, že na těchto kartách jsou peníze.“ Adobe v poslední době velmi silně propaguje svou službu Creative Cloud, jež funguje na modelu měsíčního či ročního předplatného. To znamená, že společnost musí ukládat údaje z platebních karet, z nichž „odsává“ po uplynutí určitého období peníze, aniž by musela posílat tradiční účet. A útočníci o tyto karty mají zájem. „Tyto ukradené karty mohou mít na černém trhu hodnotu až třicet milionů dolarů,“ říká Rajesh Ramanand ze společnosti Signifyd.

Adobe není jedinou společností, která se snaží své zákazníky přimět, aby přešli na model předplatného. Podobnou cestou se vydal například i Microsoft se svými Office 365. Adobe mělo v uplynulém měsíci 1,03 milionu předplatitelů Creative Cloud, přičemž do konce roku by to již mělo být 1,25 milionu uživatelů. Microsoft pak v září oznámil, že jeho Office 365 Home Premium využívají dva miliony lidí, což je dvakrát tolik, co v květnu.

Průnik do jeho systémů bude Adobe stát značné množství peněz, neboť společnost bude postiženým zákazníkům poskytovat bezplatnou službu ročního monitoringu jejich účtu. „To je bude stát sto dolarů na uživatele,“ říká Pescatore s tím, že náklady se tak mohou vyšplhat až na 300 milionů dolarů. Někteří experti však nesouhlasí s tím, že útoky na Adobe byly provedeny přímo kvůli krádeži čísel karet. „Produkty Adobe již dlouho čelí silným útokům. Myslím si, že kyberzločinci jednoduše hledali jakákoli data a narazili na platební karty. Útočníci většinou nevědí, na co přesně narazí,“ říká Lawrence Pingree ze společnosti Gartner.

Podle Pingreeho šli zločinci spíše po uživatelských jménech a heslech, ne po číslech karet. „V dnešní době již také není vůbec jednoduché platební karty zneužít. Banky mají propracované kontrolní systémy, které umí tyto transakce rychle rozpoznat.“

Chet Wisniewski ze společnosti Sophos pak dodal, že Adobe udělalo zásadní chybu, když nešifrovalo všechna svá data. „Jak to, že jste nezašifrovali moje datum narození?“ ptá se Wisniewski. „Proč šifrovat pouze věci týkající se platebních karet? Mé datum narození je také součástí mé identity.“ Ať už byly útoky provedeny z jakéhokoli důvodu, jasné je, že uživatelé se při zadávání čísel svých karet na internetu nebudou cítit tak bezpečně jako dříve.