160.000 Sozialversicherungsnummern von auffällig gewordenen Personen gestohlen
Das Administrative Office of the Courts (AOC) im Staat Washington in den USA wurde vor einiger Zeit gehackt. Das AOC hat einen sicheren Diebstahl von 94 Sozialversicherungsnummern bestätigt. Durch einen Bug in der Adobe Software ColdFusion konnten Hacker jedoch möglicherweise bis zu 160.000 Sozialversicherungsnummern sowie eine Million Identifikationsnummern von Führerscheinen erbeuten.
Adobe ist in letzter Zeit häufiger in die Kritik geraten, da immer wieder Fehler von Cyberkriminellen entdeckt und ausgenutzt worden sind. Das Programm ColdFusion, welches „die rasche und effiziente Entwicklung, Bereitstellung und Wartung von Enterprise-Applikationen auf Basis von Java EE“ ermöglicht, wurde schon länger vom AOC genutzt.
Adobe gab in einer Erklärung einen Tag vor Bekanntwerden des Zugriffs an, dass in dem Programm vier Bugs vorhanden waren, die einen nicht-autorisierten Zugriff auf den Server ermöglichten. Dieser Zugriff konnte den Anmeldevorgang so umgehen, dass keine Autorisierung nötig war.
Die Opfer des Datenraubs waren vor allem jene, die zwischen September 2011 und Dezember 2012 in einem Stadt- oder Landesgefängnis in Washington inhaftiert waren, zwischen 1989 und 2011 eine Vorladung wegen Alkoholeinfluss am Steuer erhalten, Verkehrsfälle zwischen 2011 und 2012 eingereicht oder zwischen 2011 und 2012 einen Fall aufgrund einer Straftat gegen sich laufen hatten.
Adobe wurde von dem Hackerangriff nicht direkt in Kenntnis gesetzt, teilte eine Sprecherin von Adobe mit. Seit den Angriffen, die irgendwann zwischen September 2012 und Februar 2013 stattfanden, wurde ein umfassendes Update herausgebracht, welches die vier problematischen Sicherheitslücken beseitigt.
In der Zwischenzeit ist ein weiteres Problem der Software bekannt geworden. 2012 wurden trotz häufiger Hackerangriffe nur vier Updates herausgebracht, die sehr langsam die großen Sicherheitslücken von ColdFusion beheben.
Artikel von scmagazine.com, 10.05.2013: Weakness in Adobe ColdFusion allowed court hackers access to 160K SSNs
Artikel von zdnet.com, 10.05.2013: Hackers breached Washington state court with Adobe ColdFusion flaw