Adoben verkko hakkeroitu

[Gamma]

Tämmöinen sähköposti tuli tänään Adobelta.
---------------------------------------------------------
Aihe: Tärkeä asiakkaiden tietoturvahälytys

Havaitsimme hiljattain, että hyökkääjät olivat päässeet verkkoomme laittomasti. Hyökkääjät ovat ehkä saaneet käyttöönsä Adobe-tunnuksesi ja salatun salasanasi. Meillä ei ole tietoa, että tiliäsi olisi käytetty laittomasti. Jos olet tehnyt meille tilauksen, näitä tietoja, kuten nimeäsi, salattua maksukortin numeroa ja kortin viimeistä voimassaolopäivää, on voitu käyttää. Emme usko, että järjestelmistämme olisi saatu korttien numeroita, joiden salaus on purettu.

Olemme nollanneet salasanasi, jotta luvaton pääsy tiliisi voidaan estää. Luo uusi salasana osoitteessa www.adobe.com/go/passwordreset_fi. Suosittelemme myös, että muutat salasanasi kaikilla niillä sivustoilla, joilla käytät samaa käyttäjätunnusta tai salasanaa. Ole aina varovainen, kun vastaat sähköposteihin, joissa pyydetään henkilökohtaisia tietojasi.

Suosittelemme myös, että valvot tiliäsi petosten ja identiteettivarkauden varalta tarkistamalla säännöllisesti tiliotteen ja valvomalla luottotietojasi. Jos havaitset epäilyttäviä tai epätavallisia tapahtumia tililläsi tai epäilet identiteettivarkautta, ilmoita siitä välittömästi pankillesi. Saat meiltä pian kirjeen, jossa on lisätietoja tästä asiasta.

Pahoittelemme syvästi mahdollista vaivaa, jota tämä tapaus voi sinulle aiheuttaa. Asiakkaittemme luottamus on meille ensiarvoisen tärkeää, joten työskentelemme voimakkaasti estääksemme tämäntyyppiset tapaukset tulevaisuudessa. Jos sinulla on kysymyksiä, voit lukea lisätietoja Asiakkaiden hälytyssivulta, joka löytyy täältä.

[Munt]

Ahneella on paskainen loppu, eikä alkukaan näytä hyvältä.

..

[mremonen]

Laitoin tuosta jo aamulla tuohon pilviketjuun. Vaikkei tämä nyt suorastaan pilvenpolttajista johdukaan, niin paljastaa hyvin ne vaarat mitä tuohon tilauspohjaiseen malliin liittyy. Kaikki ei olekaan ihan niin persikkaista, miltä pilvestä katsoen näyttää.

[jmjh]

Minä en oikein ymmärrä miksi tätä pilveä piti tähän ottaa mukaan? Tämä Adobe ID systeemi on ollut jo olemassa paljon ennen pilven tulemista ohjelmistojen myyntiin nettisivujen kautta ja ihan sama tilanne voi tulla myös ilman sitä pilveä. Itse en ole edes tilannut mitään pilveä ja sama viesti tuli.

[Nöpö]

Minä en oikein ymmärrä miksi tätä pilveä piti tähän ottaa mukaan? Tämä Adobe ID systeemi on ollut jo olemassa paljon ennen pilven tulemista ohjelmistojen myyntiin nettisivujen kautta ja ihan sama tilanne voi tulla myös ilman sitä pilveä. Itse en ole edes tilannut mitään pilveä ja sama viesti tuli.

Varmaankin siksi, että kaikkien pilvenpo... eikun käyttäjien luottokorttitiedot on tallennettu Adoben palvelimille ja tuota kautta on olemassa riski luottokorttitietojen väärinkäytöstä. Pelkkään ID:hen ei sisälly sitä riskiä. Itsekin olen kyllä ostanut tuolta kortilla, mutta muistini mukaan viimeinen ostos on 2010-vuodelta, jonka jälkeen kortti on kyllä vaihdettu.

[jmjh]

Varmaankin siksi, että kaikkien pilvenpo... eikun käyttäjien luottokorttitiedot on tallennettu Adoben palvelimille ja tuota kautta on olemassa riski luottokorttitietojen väärinkäytöstä. Pelkkään ID:hen ei sisälly sitä riskiä. Itsekin olen kyllä ostanut tuolta kortilla, mutta muistini mukaan viimeinen ostos on 2010-vuodelta, jonka jälkeen kortti on kyllä vaihdettu.

Mutta kuitenkin samat riskit liittyy ihan kaikkiin verkkokauppoihin tai ylipäätänsä luottokorttimaksuihin. Pilvipalvelut tietysti vaatii sen että luottokorttitiedot on tallennettu palveluntarjoajan järkestelmiin, mutta ei nyt kannata olla niin sinisilmäinen että olettaa että luottokorttitietoja ei olisi tallennettu myös kertaostoksien tapauksessa. Suomessa taitaa olla olla tiukemmat säännöt luottokorttitietojen tallennuksesta, mutta kun mennään rajojen ulkopuolelle ja varsinkin jenkkilän puolelle niin ei kannata hirveästi tuollaisia olettaa. Jenkkilässä on esim. aika yleistä se että palautus ja hyvitystapauksissa maksu palautetaan samalle luottokortille (koska tilisiirtoja ei hirveesti käytetä), joka tapahtuu sen suuremmin luottokorttitietoja uusiksi kysymättä. Adobe on tietysti sen suhteen vähän huono, että se on isona firmana todennäköisempi iskujen kohde.

Pelkkään ID:hen nyt liittyy se riski jos samaa sähköposti/salasanaa yhdistelmää on käyttänyt muissakin palveluissa.

[grafia]

Minulla on Adobe ID -tunnus, mutta ei ole tullut tuollaista varoitusviestiä. Viimeksi ostin Adobelta suoraan joskus silloin kun Lightroom 3 oli tarjouksessa, eli just ennen kuin hinta laski lähelle sataseen. Onhan siitä aikaa, mutta kortti on edelleen sama.

[mremonen]

Minä en oikein ymmärrä miksi tätä pilveä piti tähän ottaa mukaan? Tämä Adobe ID systeemi on ollut jo olemassa paljon ennen pilven tulemista ohjelmistojen myyntiin nettisivujen kautta ja ihan sama tilanne voi tulla myös ilman sitä pilveä. Itse en ole edes tilannut mitään pilveä ja sama viesti tuli.

Niin kuin Nöpö tuossa totesi, niin pilvipalveluiden käyttö vaatii aktiivisen luottokorttitiedon tallentamisen ja ylläpitämisen palveluntuottajan järjestelmässä. Itsellä on lk-tiedot vain paypalissa. Joka sekin on hakkeroitavissa, mutta jotenkin tuntuu, että pp ottaa nämä asiat melko vakavasti. Jos pp hakkeroitaisiin, se olisi firman loppu.

Ei mulla ole lk-tietoja iTunesissakaan. Eikä tule. Samasta syystä en osta mitään maksullisia palveluja/tuotteita windows-puhelimeenkaan. Enkä xboxiin, kuin en myöskään pleikkaan.

Jenkkilässä on todennäköisesti lk-tietojen säilyttäminen säädelty ja kontrolloitu tarkemmin kuin meillä, ei me kaikessa olla maailman parhaita.

[jmjh]

Jenkkilässä on todennäköisesti lk-tietojen säilyttäminen säädelty ja kontrolloitu tarkemmin kuin meillä, ei me kaikessa olla maailman parhaita.

Mihinkäs tämä "todennäköisesti" sitten perustuu? Mutu? En nyt sano että Suomalainen järjestelmä on maailman paras ja onhan täällä ollut omat ongelmat (esim. Dansken java sekoilut), mutta ainakaan omat kokemukset jenkkien pankkijärjestelmästä ei ihan hirveästi herätä luottamusta järjestelmästä ja säätelystä. Tässä nyt muutama esimerkki mitä tuli vastaan siellä päin asuttaessa (2008-2010, mutta tuskin tilanne nyt on hirveesti muuttunut)
- Verkkopankkiin kirjaudutaan tunnuksella ja salasanalla, vaihtuvat salasanat ovat tuntemattomia
- Ainoat mahdollisuudet maksaa laskuja (esim. sähkö ja internet) ovat joko mennä luukulle maksamaan, lähetettää shekki tai maksaa luottokortilla firman omien sivujen kautta. Verkkopankista ei löydy muuta kuin tilisiirto pankin sisällä.
- Korteissa vain magneettinauha, sirut aiheuttaa korkeintaan ihmetystä kassoilla
- Varmistus tapahtuu lähinnä allekirjoituksella ja pieniin ostoksiin ei välttämättä tarvitse mitään varmennetta. Pin-numeroa taidettiin kysyä vain huoltoasemalla

Järjestelmässä on kuitenkin hyvää se, että luottokorttiostoja valvotaan tehokkaasti tekstiviesteillä ja soittoilla pankista, että onko maksu todellakin tehty itse varsinkin jos maksu tuli jostain vähän erikoisemmasta paikasta. Lisäksi kerrran luottokorttitietovarkauksen kohteeksi joutuessa pankki sulki kortin, peruutti maksut ja laittoi uuden kortin tilaukseen yhdellä soitolla. Mutta toisaalta ei se nyt ihan aukoton systeemi ollut. Luottokortin loppu oli nimittäin se kun Suomeen palaamisen jälkeen käytin korttia täällä muutaman kerran joka aiheutti kortin toiminnan lakkaamisen varmaankin juuri noihin soittoihin vastaamattomuuden takia ja lopulta kortti vain hävisi verkkopankista. Voisi ehkä ollut vähän verenpainetta nostava ominaisuus jos oikeasti olisi ollut matkustemassa silloin ja kortti olisi ollut ainut maksuväline :)

Mutta voitte myös itse tehdä omat johtopäätökset siitä miten hyvin tai huonosti asiat Suomessa onkaan (tai lähinnä jokseenkin Euroopalainen systeemi kai tämä on).

Paypalista puheen ollen, järjestelmä muuten pitää tietoja tallessa vaika kortin tiedot olisi poistanut omasta järjestelmästä. Tämä on tullut esille kun ihmiset on saanut omat tilit jumiin ja uutta tiliä luotaessa sama kortti ei enää toimikaan uuden tilin kanssa vaikka se olisi poistettu vanhasta tunnuksesta. Ainakin näin vielä oli muutama vuosi sitten.

Vähän menee nyt ehkä offtopiksi, mutta sallittakoon kun onhan tämä sentään Digicameran foorumi ...

[tiari]

Jenkkilässä on todennäköisesti lk-tietojen säilyttäminen säädelty ja kontrolloitu tarkemmin kuin meillä, ei me kaikessa olla maailman parhaita.

Mihinkäs tämä "todennäköisesti" sitten perustuu?

Luottokorttitietojen (Visa, Mastercard, etc) suojaaminen määritellään PCI-standardissa. Jokaisen luottokorttitietoja käsittelevän yrityksen on tarkastutettava järjestelmänsä tätä standardia vasten. Jos tässä on tapahtunut käpy, niin sanktiot voivat muodostua kauppiaalle erittäin kalliiksi. Standardi on sama ympäri maailman.

https://www.pcisecuritystandards.org/

[mremonen]

Jenkkilässä on todennäköisesti lk-tietojen säilyttäminen säädelty ja kontrolloitu tarkemmin kuin meillä, ei me kaikessa olla maailman parhaita.

Mihinkäs tämä "todennäköisesti" sitten perustuu?

Järjestelmässä on kuitenkin hyvää se, että luottokorttiostoja valvotaan tehokkaasti tekstiviesteillä ja soittoilla pankista, että onko maksu todellakin tehty itse varsinkin jos maksu tuli jostain vähän erikoisemmasta paikasta.

Kun itse kysyy ja vastaa ;)

Joka tapauksessa vaikka tällä Adoben jutulla ei ole suoraa yhteyttä CC:hen, niin itse en näitä pilvipalveluja pidä kovin hyvänä niin kauan kun maksutapana on suora luottokorttivelotus. Jopa tämä uusi e-lasku olisi turvallisempi.

[mremonen]

Tässä nyt muutama esimerkki mitä tuli vastaan siellä päin asuttaessa (2008-2010, mutta tuskin tilanne nyt on hirveesti muuttunut)
- Korteissa vain magneettinauha, sirut aiheuttaa korkeintaan ihmetystä kassoilla
- Varmistus tapahtuu lähinnä allekirjoituksella ja pieniin ostoksiin ei välttämättä tarvitse mitään varmennetta. Pin-numeroa taidettiin kysyä vain huoltoasemalla

Näin tämä toimi Suomessakin vielä 2008-2010.

[jmjh]

Joka tapauksessa vaikka tällä Adoben jutulla ei ole suoraa yhteyttä CC:hen, niin itse en näitä pilvipalveluja pidä kovin hyvänä niin kauan kun maksutapana on suora luottokorttivelotus. Jopa tämä uusi e-lasku olisi turvallisempi.

E-lasku olisi tietysti hyvä juttu joo, mutta vaatisi Adobelta maakohtaiset ratkaisut. Toinen ihan ok olisi Paypalin vastaava suoraveloitus.

Näin tämä toimi Suomessakin vielä 2008-2010.

Jaa, on taidettu asua ihan eri Suomessa. Ainakin minulla oli sirut jo käytössä vuosituhannen alusta ja aina on kysytty PIN tai allekirjoitus. Ja tuo tilanne nyt ihan hirveän paljon parempi ole näin muutaman vuoden jälkeen: http://www.creditcards.com/credit-card- ... y-1276.php

[bababoboo]

Ei Adobella ihan vahvasti ole ennen tätäkään episodia mennyt, LR4 Upgraden ostin suoraan heidän sivuiltaan kun se tuli myyntiin ja kortilla jota ei ole ikinä käytetty missään muualla sen enempää netissä kuin oikeassa elämässäkään ja kas, meni kuukausi ja sillä oli tehty ostoksia Singaporesta vaiko Honkkarista, ei muista enää. Nettiostoksiin on käytössä lisäksi aina ns. puhdas selain ilman mitään plugareita tai vastaava asennettuna, joten koneen päästä ei vuotoja tullut.

Riskienhallinnasta toki soittelivat ennen kortin sulkua, että olenko tehnyt nettiostoksia parilla tonnilla äskettäin ja minä siihen, että en tietääkseni kun heräsin juuri ja olin paikassa missä ei nettiä ollut puhelinta lukuunottamatta edes tarjolla ja sen välityksellä en tilaile mitään muutenkaan.

Tässä nähdään yksi päähaasteista pilviratkaisujen ja nettitransaktioiden suhteen, ne pitäisi pitää erillään ja salausten pitäisi olla rosvojen kestävää, NSA:ta nyt tuskin kannattaa lähteä jallittamaan, ne eivät sentään ole luottokorttien perään. :)

[tiari]

Tässä nähdään yksi päähaasteista pilviratkaisujen ja nettitransaktioiden suhteen, ne pitäisi pitää erillään ja salausten pitäisi olla rosvojen kestävää, NSA:ta nyt tuskin kannattaa lähteä jallittamaan, ne eivät sentään ole luottokorttien perään. :)

Nettimaksua varten pitäisi kaikissa maksukorteissa olla mahdollisuus kertakäyttöisiin transaktiokohtaisiin korttinumeroihin.

[zenix]

Tässä nähdään yksi päähaasteista pilviratkaisujen ja nettitransaktioiden suhteen, ne pitäisi pitää erillään ja salausten pitäisi olla rosvojen kestävää, NSA:ta nyt tuskin kannattaa lähteä jallittamaan, ne eivät sentään ole luottokorttien perään. :)

Nettimaksua varten pitäisi kaikissa maksukorteissa olla mahdollisuus kertakäyttöisiin transaktiokohtaisiin korttinumeroihin.

Elisa lompakko osaa tuollaisen. Voit generoida n-kappaletta luottokorttinumeroita. Maksaa jonkun kymmeniä senttejä per kortti tms.