Adobe 客戶資料和軟件原始碼洩漏事故

HKCERT 留意到10月3日 Adobe 在博錄上發出告示，揭示多個 Adobe 軟件產品 (包括 ColdFusion 、 ColdFusion Builder 及 Acrobat 等) 的原始碼被黑客盜取；黑客同時也盜取了290 萬個客戶的資料，當中包括客戶名稱，已加密的信用卡和轉賬卡號碼，到期日以及其他有關客戶訂單的資料。本中心呼籲公眾留意事態發展，和提防不法分子利用事件散播釣魚電郵。

Adobe 聲稱仍在調查原始碼被黑客盜取一事，但表示經過仔細檢查，在事故後發放的 ColdFusion 產品的原始碼未被污染，現時亦沒有發現針對 Adobe 產品的零日攻擊。至於受影響的 290萬個客戶資料，Adobe 聲稱已主動聯絡相關的銀行及執法機關，高度監測受影響的信用卡，受影響的 290萬個客戶的帳戶密碼已被重設，客戶也會收到電郵通知，提醒設定新的密碼。

本中心對事故有以下評估：

1. 據悉所洩漏的信用卡和轉賬卡資料是經過加密，黑客無法直接利用。
2. Adobe 除了已聯絡相關的銀行及當地執法機關，如果客戶要求，會向受影響的戶口提供一年的免費監測服務，這些措施有助發現信用卡資料被非法盜用。
3. Adobe 已重設受影響的客戶密碼，防止黑客利用客戶的帳戶進行不法行為。
4. 黑客得到 Adobe 軟件產品原始碼，有助於他們研究和找出軟件的漏洞，對受影響產品的安全性帶來長遠的威脅。被盜取的 Adobe 軟件產品原始碼當中，涉及多少和保安和加密機制有關的資料，仍有待 Adobe 提供進一步的資料，方能評估其中風險。

對於這次事故，本中心有以下的建議：

1. 當收到 Adobe 的電郵通知，要小心檢查電郵，避免被誤導到釣魚網站洩漏密碼。不要點擊使用電郵中的連結，要直接使用瀏覽器開啟 Adobe 的網頁，登入並修改密碼。
2. 市民請緊記在不同的網上服務使用不同的登入密碼，如果可能，應使用雙重認證。
3. 市民須緊貼 Adobe 產品的更新，Adobe 應該會在10月8日及隨後的保安更新，修正因洩漏原始碼而產生的漏洞。
4. Adobe ColdFusion的用戶，請依照 Adobe 的 ColdFusion Lockdown Guide 加強 ColdFusion 的保安。
5. 請密切留意 Adobe 就事故的進一步消息。

參考資料：

Adobe : Important Customer Security Announcement
http://blogs.adobe.com/conversations/2013/10/important-customer-security-announcement.html

KrebsonSecurity: Adobe To Announce Source Code, Customer Data Breach
http://krebsonsecurity.com/2013/10/adobe-to-announce-source-code-customer-data-breach/