Adobe DRM wurde gerade noch schlechter, Kundendaten bei Hack entwendet
Update: Vor wenigen Wochen wurde Adobe Opfer eines Hackerangriffs (siehe unten). Damals war die Rede von 2,9 Millionen betroffenen Accounts, bei denen zumindest Benutzername und (verschlüsseltes) Passwort gestohlen wurden. Das ist besonders für eBook-Leser die Wert auf ihre Datensicherheit legen, ein harter Schlag gewesen. Allerdings scheint die Sache deutlich schlimmer zu sein als gedacht.
Wie The Digital Reader, unter Berufung auf das Krebs on Security Sicherheitsunternehmen, berichtet, war der Hack nämlich offenbar noch viel umfangreicher. Nicht nur 2,9 Millionen Nutzer waren betroffen, sondern scheinbar über 150 Millionen.
Vermutlich alle Adobe DRM Kunden betroffen
Damit dürfte nun auch klar sein, dass jeder digitale Lesefreund mit einem Adobe Account ebenfalls Opfer des Angriffs wurde. Adobe spricht im Moment von nur 38 Millionen betroffenen aktiven Nutzern. Allerdings dauern die Untersuchungen an, sodass diese Zahl noch nach oben korrigiert werden kann.
Die neue Zahl stammt nicht von Adobe selbst, sondern lässt sich aus einer bei AnonNews.org zum Download angebotenen 3,8 GB großen Datei ablesen. Darin enthalten: Über 150 Millionen Accountdaten von Adobe-Nutzern.
Der Forenpost ist inzwischen wieder verschwunden, aber darin waren Benutzername, gehashtes Passwort und die Antwort auf die Sicherheitsfrage enthalten. Nicht enthalten waren der vollständige Name und die E-Mail Adressen, die aber aller Wahrscheinlichkeit nach beim Hackangriff ebenfalls gestohlen wurden. Besonders die Kombination aus E-Mail und Sicherheitsantwort könnte durchaus problematisch sein. Aber auch die gehashten Passwörter können „entschlüsselt“ werden, wenn man über eine ausreichend große Vergleichsdatenbank verfügt.
Offen bleibt, ob noch mehr Benutzerkonten entwendet wurden. Nirgendwo steht geschrieben, dass die Datei alle erlangten Accounts enthält oder nicht.
Das große Schweigen
Besonders auffällig ist das große Schweigen von Seiten der Verlage und eBook Händler. Ich habe bisher von keiner Stellungnahme irgendeines Händlers gelesen (einzig Sony hatte eine kurze Mitteilung ausgeschickt, in der auf den Vorfall hingewiesen wurde), der sich zu dem Vorfall geäußert hat.
Das ist durchaus erstaunlich, für eine Branche die offenbar besonders großen Wert auf die eigene Datensicherheit legt, indem man die Dateien zum größten Teil mit Adobe DRM zum Verkauf anbietet. Die Nutzerdaten sind offenbar nicht wichtig genug, um sich zu einer Stellungnahme durchzuringen. Aber immerhin kann man sich damit trösten, dass das Ganze ja nicht selbstverschuldet war, sondern beim externen Dienstleister passiert ist.
Originalmeldung: Adobe DRM gehört zu den kontrovers diskutierten Dingen beim eBook-Betrieb. Der Kopierschutz soll Verlage und Rechteinhaber vor der unrechtmäßigen Weitergabe der eBooks schützen und so sicherstellen, dass dem digitalen Gut der gleiche Wert zukommt, wie dem gedruckten Buch.
Dabei stellt sich aber immer wieder heraus, dass dieser DRM-Schutz auch ein Hemmschuh für die Entwicklung des Marktes sein kann. Ein Blick in unser Forum zeigt hier recht schnell, dass viele Fragen mit der Format-Kompatibilität bzw. dem Kopierschutz zusammenhängen. Probleme die im Betrieb entstehen, haben nicht selten mit dem ungeliebten DRM zu tun. Diesen Eindruck bestätigt auch ein Blick auf andere reichweitenstarke Plattformen, ebenso wie der Buchhandel selbst.
Immer wieder wird daher die Forderung laut, dass dieser harte Kopierschutz fallen gelassen werden und man sich stattdessen ein Vorbild am Musik- oder Filmemarkt nehmen soll. Deren Dateien werden mit sogenanntem weichen DRM versehen, in Form eines jedem Nutzer und Download eindeutig zuordnungsbarem digitalen Wasserzeichen. Dabei muss der Kunde keine Einschränkungen bei der Nutzung in Kauf nehmen.
Adobe gehackt, Kundendaten gestohlen
Nun bekommt die Debatte rund um den Adobe-Kopierschutz neuen Zündstoff, denn wie Adobe im Firmenblog bekannt gibt, wurde das Unternehmen Ziel eines Hackerangriffs. Dabei wurden 2,9 Millionen Kundendaten gestohlen, inkl. Namen, verschlüsselter Kreditkarteninformationen und „anderen Informationen die etwas mit Kundenbestellungen zu tun haben“. Man darf davon ausgehen, dass es sich bei diesen „anderen“ Informationen, um das vollständige Kundenprofil handelt, das mit dem Konto verknüpft ist.
Davon betroffen sind auch die vielen eBook-Nutzer, die gezwungenermaßen auf den Adobe-Dienst zurückgreifen müssen. Nur Kunden von Amazon oder Barnes & Noble, die beide auf einen proprietären Kopierschutz setzen, sind nicht betroffen.
Auch wenn Adobe natürlich nicht direkt für den Hackerangriff verantwortlich gemacht werden kann, so ist es doch sehr beunruhigend, dass ein solcher Angriff auf ein immer stärker in der „Cloud“ operierendes Unternehmen überhaupt möglich ist, bzw. dass das gleich 2.900.000 Kundendaten abgegriffen werden.
Business as usual
Geradezu ironisch ist es, dass nun ausgerechnet ein Mechanismus der die unbefugte Weitergabe von Daten verhindern sollte, mit dafür verantwortlich ist, dass vermehrt persönliche Kundendaten und -profile irgendwo im Internet gelandet sind.
Ob sich nach diesem massiven Datenleck die Haltung der Rechteinhaber gegenüber Adobe DRM ändert, ist zweifelhaft. Keiner der großen Anbieter hat in besonderer Weise dazu Stellung genommen, es werden lediglich E-Mails ausgeschickt, die den Kunden relativ knapp über das Sicherheitsproblem informieren, ohne auf weitere Details einzugehen. Gleichzeitig wird man darauf hingewiesen, dass man das Passwort ändern muss.
Generell empfiehlt es sich an dieser Stelle auch die Passwörter auf anderen Plattformen zu ändern, wenn man die gleiche Kombination aus E-Mail und Passwort öfter verwendet hat. Außerdem ist nun auch bei E-Mails die nach persönlichen Daten oder Passwortrückstellungen verlangen, erhöhte Vorsicht geboten. Sogenannte Phishing-E-Mails sind zwar nichts neues, aber mit 2,9 Millionen Datensätze vieler aktiver eBook-Leser lässt sich viel Schaden anrichten.
Am Ende hinterlässt diese Hackeraffäre jedenfalls einen sehr fahlen Nachgeschmack. Das so oft gelobte offene ePub-Format zeigt nun sein wahres Gesicht, denn in der täglichen Geschäftstätigkeit ist es nicht offener als das System von Amazon, sondern genauso von einem US-Unternehmen abhängig – nur eben von einem anderen.