LastPass har avslöjat data som den säger tillhör cirka 152 miljoner Adobe Systems-användarkonton, vilket tyder på att ett intrång som rapporterades för en månad sedan är mycket större än vad Adobe hittills har avslöjat och är ett av de största som har registrerats.
Lösenordssäkerhetsföretaget sa att det har hittat e-postadresser, krypterade lösenord och lösenordstips lagrade i klartext från Adobes användarkonton på en underjordisk webbplats som besöks av hackare.
Adobe sa förra veckan att angripare hade stulit data på mer än 38 miljoner kundkonton, utöver stölden av information på nästan tre miljoner konton som de avslöjade nästan en månad tidigare.
Adobe bekräftade att LastPass hade hittat poster stulna från dess datacenter, men tonade ner betydelsen av säkerhetsföretagets fynd.
Medan de nya rönen från LastPass indikerar att Adobe-intrånget är mycket större än tidigare känt, sa företagets taleskvinna Heather Edell att det inte var korrekt att säga att 152 miljoner kundkonton hade äventyrats eftersom databasen som attackerades var ett säkerhetskopieringssystem som skulle avvecklas.
Tänk om någon skapade ett konto hos Adobe för tio år sedan och glömde det och de använder samma lösenord där som de använder på andra webbplatser?
Hon sa att posterna inkluderar cirka 25 miljoner poster som innehåller ogiltiga e-postadresser, 18 miljoner med ogiltiga lösenord. Hon tillade att ”en stor andel” av kontona var fiktiva, efter att ha skapats för engångsbruk så att deras skapare kunde få gratis programvara eller andra förmåner.
Hon sa också att företaget fortsätter att arbeta med brottsbekämpande myndigheter och utomstående utredare för att fastställa kostnaden och omfattningen av intrånget, vilket resulterade i stöld av kunddata samt källkod till flera programvarotitlar.
Företaget har meddelat cirka 38 miljoner aktiva Adobe ID-användare och kontaktar nu innehavare av inaktiva konton, sa hon.
Paul Stephens, chef för policy och opinionsbildning för det icke-vinstdrivande Privacy Rights Clearinghouse, sa att information i en inaktiv databas ofta är användbar för brottslingar.
Han sa att de kan använda det för att delta i ”nätfiske”-bedrägerier eller försöka lista ut lösenord med hjälp av tipsen som ges för några av kontona i databasen. I vissa fall kanske personer vars data har avslöjats inte är medvetna om det eftersom de inte har fått tillgång till de inaktuella kontona, sa han.
”Potentiellt är det webbplatsen du har glömt som utgör den större risken,” sa han. ”Tänk om någon skapade ett konto hos Adobe för tio år sedan och glömde det och de använder samma lösenord där som de använder på andra webbplatser?”
Glömt saltet?
LastPass vd Joe Siegrist sa att Adobe misslyckades med att använda bästa praxis för att säkra de stulna lösenorden.
De i databasen skyddades inte med en teknik som kallas ”salting”, vilket innebär att man lägger till en hemlig kod till varje lösenord efter att det har förvrängts och innan det lagras i databasen. På så sätt ser aldrig flera krypterade versioner av samma lösenord likadana ut.
Eftersom lösenorden inte var saltade sa Siegrist att han kunde identifiera det vanligaste lösenordet i gruppen, som användes 1,9 miljoner gånger. Databasen har 108 miljoner e-postadresser med lösenord som delas på flera konton.
”Jag skulle säga att 108 miljoner människor faller inom intervallet av sannolikt mycket lätt gissa lösenord,” sade han.
Antalet stulna register verkar vara det största som tagits i någon offentligt avslöjad cyberattack hittills.
Det största intrånget som tidigare rapporterats var en attack 2009 mot Heartland Payment Systems där mer än 130 miljoner kreditkortsnummer stals, enligt data från Privacy Rights Clearinghouse.
Hackare fick tillgång till mer än 100 miljoner poster från Sony PlayStation Network 2011 i en annan ökänd attack.
Mike Spanbauer, vd för forskning på säkerhetsföretaget NSS Labs, noterade att effekterna av Adobe-intrånget kanske inte är lika betydande som de där ett stort antal finansiella poster stals.
Ändå sa han att attacken var en stark påminnelse om att konsumenter och företag måste vara vaksamma på att se till att de inte återanvänder lösenord.
