Adobe周四承认,黑客侵入其网络并窃取了个人信息,其中包括约290万张信用卡,这说明订阅软件提供商已成为网络犯罪分子有利可图的目标。
Adobe公司周四承认黑客侵入其网络并窃取了个人信息,包括大约290万张信用卡,这说明订阅软件提供商已经成为网络犯罪分子有利可图的目标,分析家今天说。
“甚至在进入云计算之前,按月计费的公司就已经成为了一个目标,”SANS Institute新兴安全趋势主管约翰佩斯卡托雷(John Pescatore)说,他曾是Gartner的安全分析师。“这是(网络)托管提供商多年来面临的一个问题。有两个原因。首先,他们拥有大量的信用卡。其次,你知道牌是好的。”
Adobe长期以来一直是软件行业的龙头企业,它一直在积极推广“创意云”,即按订阅方式提供的软件。根据今年早些时候提交给美国证券交易委员会(SEC)的一份文件,Adobe希望这一转变将“改变我们的商业模式,推动更高的收入增长”。
与所有软件即服务(SaaS)一样,创意云依赖于每月或每年的经常性支付,对大多数客户来说,这意味着提供信用卡。提供商存储这些卡信息,这样它就可以在不发送传统账单的情况下向客户收费,而且最重要的是,它可以等待付款。
这些信用卡对黑客有价值。“盗窃信用卡号码在黑市上的价值高达3000万美元,”阿利夫拉克拉拉圣克拉拉Signifyd的首席执行官Rajesh Ramanand说,欺诈保护公司,在关于Adobe Breach的电子邮件中。
Adobe并不是唯一一家试图从带有永久许可证的打包软件转向需要定期付费的租赁式订阅软件的软件制造商。例如,微软正在努力说服客户接受其Office 365订阅服务。
举两个例子,在Adobe和微软,SaaS数量(sub和信用卡的数量)都有了显著增长。Adobe上月表示,Creative Cloud拥有103万用户,正向年底125万用户的目标迈进。同样在9月份,微软说其Office 365 Home Premium有200万用户,比5月份宣称的100万增加了一倍。Office 365 Home Premium的目标客户是需要向微软支付信用卡的消费者。
和违反Adobe将花费数百万美元的通知和保护成本,因为它承诺接触受影响的客户,并为他们提供一年免费的信用监控。佩斯卡托雷说:“这将使他们在每个用户身上花费100美元。”这将意味着花费近3亿美元。
Adobe不同意。在一个申请10月3日,在美国证券交易委员会披露网络入侵的同一天,该公司承认了入侵,但表示,“目前,我们认为攻击不会对我们的业务或财务业绩产生实质性的不利影响。”不出意料的是,该公司还发出了警告,补充道:“尽管如此,这一事件可能对我们产生各种不利影响。”
其他专家则对网络犯罪分子针对Adobe公司的信用卡宝藏表示怀疑。
Gartner的劳伦斯•平格里(Lawrence Pingree)表示:“Adobe长期以来一直是微软的目标,其产品受到了严重攻击,这在很大程度上是微软的抱负所在。”“我认为他们实际上是在搜集数据,无意中发现了信用卡。黑客通常不确定他们会在哪里找到数据。”
Pingree推测,入侵Adobe网络的动机可能是盗取用户名和密码,而不是信用卡。
他的赌注是基于许多用户回收多个账户(包括网络电子邮件)的密码甚至用户名的做法。有了Adobe的用户名和密码(该公司明确表示,只有用户名和密码是加密的),黑客可以将这些用户名和密码卖给其他人,也可以在成功破解密码的情况下利用这些用户名和密码。
Pingree说:“因为电子邮件被用来重置银行的密码,用户名和密码就成了一个宝库。”“如果我能破解电子邮件,我几乎可以使用任何服务。”
包括网上银行。黑客可以用盗取的用户名和密码ping多家银行的自动工具,快速搜索匹配的账户,一旦找到,就会迅速清空银行账户,将资金汇入自己的海外账户。
Pingree认为,用户名/密码数据比信用卡更有利可图,因为信用卡行业有先进的欺诈检测技术。他说:“信用卡公司所采用的自动化能够了解交易的使用模式;对坏人来说,把钱从(银行)账户转移出去更有用。”
英国安全公司Sophos的安全研究员Chet Wisnieswki批评Adobe没有加密所有非信用卡数据。“你为什么不把我的生日加密?”Wisnieswki反问道。“为什么只加密PCI(处理持卡人信息的组织的安全标准)所要求的东西?”我的生日也是我身份的一部分。
Wisnieswki继续说道:“我并不是真的被偷的信用卡所困扰。”“但我更担心的是个人数据,有人会利用这些数据以我的名义多办5张信用卡。”
但是,专家们一致认为,不管攻击者是否针对Adobe的信用卡,他们确实盗走了数百万美元,这对该公司及其订阅模式都是一大打击。
Adobe发现。在10月3日提交给SEC的文件中,Adobe使用了股票术语来定义入侵的风险,称一旦入侵,公司将面临诉讼,“损害我们的声誉,导致客户流失,损害我们的业务。”
由于其他拥有更多信用卡的公司(分析师以亚马逊为例,贝宝也有)没有被攻破,或者至少没有承认被攻破,专家们将这些公司的做法与奥多比的做法进行了对比,试图解释奥多比的失败。
佩斯卡托雷说:“在云计算或电子商务中成长起来的公司知道,他们的王冠上的宝石是客户账单数据,所以从一开始他们就保护它。”佩斯卡托雷说,那些从软件销售商转变为订阅提供商的公司,并没有这样的基因。然而。
这三个标准都说,PCI标准仅仅是一个基线,但还不够。“PCI是最低限度,”Pingree说。“拥有大量信用卡的公司确实需要比大多数公司走得更远,因为当几百万张信用卡失控时,这总是件大事。”
Wisnieswki说,即使打击主要来自负面宣传。
不过,华尔街基本上打了个哈欠:Adobe股价上周四下跌1.4%,但上周五反弹,收于比上周四开盘价低2美分。
但Pescatore不是华尔街分析师,而且对Adobe和其他公司的骚扰词语是令人满意的,而其他公司则在承认违规行为时,几乎没有任何东西,以确保它没有再发生。
Adobe在周四表示:“我们将积极努力,防止此类事件在未来再次发生。博客职位。
佩斯卡托雷说:“我认为,我们已经超出了披露这些信息的价值范围。”“公司需要告诉我们为什么会发生泄密,为什么不会再次发生。当一家汉堡店说,一位顾客的汉堡里发现了老鼠肉,仅仅告诉所有的顾客,‘嘿,我们发现了老鼠肉’是不够的。你想听到的是,如果你再去那里,为什么它不会出现在你的汉堡里。
佩斯卡托雷总结道:“(Adobe黑客)就像窃贼闯入一家老鼠汉堡公司,偷走了所有购买老鼠汉堡的人的个人信息。”
引不起食欲的。但是,大量的信用卡账单和改变谁知道多少账户凭据的前景也是如此。
格雷格Keizer涵盖Computerworld的微软,安全问题,Apple,Web浏览器和一般技术突发新闻。在Twitter上关注Gregg@gkeizer,或订阅格雷格的RSS提要。他的电子邮件地址是gkeizer@ix.netcom.com。
阅读更多有关安全的内容在计算机世界的安全主题中心。
这篇文章,“Adobe黑客显示订阅软件供应商有利可图的目标”最初是由发表的《计算机世界》 。