Resumen
- Vulneración de datos de clientes de Adobe en 2013, almacenamiento de contraseñas, exposición de código fuente, restablecimiento de cuentas de clientes y registro de responsabilidad de identidad a largo plazo.
- La vulneración de datos de clientes de Adobe en 2013 expuso registros de cuentas y riesgo de código fuente, obligando a un ajuste de cuentas público en cuanto a la protección de contraseñas, la notificación y la reutilización de credenciales a largo plazo.
- Quién tenía el control práctico sobre el diseño del almacenamiento de contraseñas, la protección del código fuente, el aviso de vulneración, el restablecimiento de cuentas de clientes, la minimización de los campos expuestos, las pruebas del acuerdo de conciliación y la demostración de que los sistemas de cuentas heredados no siguieron transfiriendo riesgos después de la fecha de divulgación?
- El problema de la responsabilidad es que las decisiones sobre el almacenamiento de contraseñas tomadas antes de una vulneración pueden seguir generando costes después de que la empresa haya restablecido las cuentas y desviado la atención pública a otra parte.
- Clientes, desarrolladores, compradores de software, equipos de riesgo de identidad, reguladores, participantes en demandas colectivas e ingenieros de seguridad necesitaban pruebas de que la reparación del sistema de cuentas abordaba el riesgo persistente de las credenciales y del código fuente.
Por qué este caso pertenece a un archivo de riesgo y responsabilidad
Adobe convirtió la evidencia del almacenamiento de contraseñas en una prueba de responsabilidad de identidad a largo plazo porque la vulneración de 2013 no fue solo un evento de divulgación. Se convirtió en una lección pública sobre cómo los sistemas de cuentas antiguos, las decisiones sobre el almacenamiento de contraseñas, la notificación a los clientes, la custodia del código fuente del software y la dependencia de identidad en la era de las suscripciones pueden seguir transfiriendo riesgos después de que una empresa haya dicho a sus clientes que restablezcan las contraseñas.
La cuestión central de la responsabilidad no es si Adobe reconoció finalmente más cuentas afectadas que la primera cifra pública. Es si el registro público permitió a los clientes y compradores de software comprender las consecuencias duraderas del diseño del almacenamiento y de la reparación.
El caso es lo suficientemente antiguo como para que se pueda recordar erróneamente como simple historia. Eso es peligroso. El antiguo anuncio de seguridad para clientes de Adobe enhttp://blogs.adobe.com/conversations/2013/10/important-customer-security-announcement.htmly el anuncio sobre el código fuente enhttp://blogs.adobe.com/asset/2013/10/illegal-access-to-adobe-source-code.htmlfueron los primeros registros públicos del compromiso de los datos de los clientes y del código fuente de los productos. Informes posteriores, incluida la cobertura de la BBC enhttps://www.bbc.com/news/technology-24740873, describieron la ampliación de los 2,9 millones de clientes afectados inicialmente a unos 38 millones de usuarios activos y señalaron la exposición del código fuente que afectaba a Photoshop, así como referencias anteriores a Acrobat y ColdFusion. Las cifras importan, pero la lección sobre el diseño importa más.
El almacenamiento de contraseñas es una decisión previa a la vulneración que se hace pública solo después del fallo. Si una empresa almacena material de contraseñas de una forma que ayuda a los atacantes a elaborar conjeturas, el restablecimiento no borra el daño. Es posible que los atacantes ya no necesiten el servicio original.
Pueden probar las mismas credenciales u otras similares en otros lugares, utilizar las pistas de contraseñas para inferir patrones, combinar direcciones de correo electrónico con otros datos expuestos y seguir beneficiándose de un diseño de almacenamiento débil mucho después de que se haya reparado el sitio principal. Por eso el artículo trata la vulneración como un registro de identidad de larga duración en lugar de un titular de seguridad momentáneo.
La exposición del código fuente añade un segundo horizonte temporal. Las preguntas frecuentes del SANS Internet Storm Center enhttps://isc.sans.edu/diary/The+Adobe+Breach+FAQ/16727trataban sobre los datos de los clientes, el código fuente y el contexto de ColdFusion poco después de la divulgación. La cobertura de seguridad de Krebs enhttp://krebsonsecurity.com/2013/10/adobe-to-announce-source-code-customer-data-breach/y de Ars Technica enhttp://arstechnica.com/security/2013/10/adobe-source-code-and-customer-data-stolen-in-sustained-network-hack/también enmarcaron el suceso como un compromiso tanto de los datos de los clientes como del código fuente. El código fuente no crea el mismo riesgo que una tabla de contraseñas, pero puede modificar la economía del atacante al revelar detalles de implementación, suposiciones sobre el producto y posibles vías de vulnerabilidad.
Este artículo no trata cada afirmación secundaria como un hecho interno probado. Separa las declaraciones de Adobe, los informes contemporáneos, el análisis técnico y los estándares actuales. Las páginas actuales del Centro de Confianza de Adobe, comohttps://www.adobe.com/trust.htmlyhttps://www.adobe.com/trust/security.html, se utilizan para el vocabulario actual del programa de seguridad, no como prueba de los controles de 2013. Los materiales de OWASP y del NIST se utilizan para los principios de contraseñas e identidad, no como conclusiones legales retroactivas. Esa disciplina de fuentes es importante porque la responsabilidad a largo plazo depende de distinguir lo que se sabía, lo que se informó posteriormente y lo que aún permanece fuera del registro público.
El almacenamiento de contraseñas puede transferir el coste después del restablecimiento
La respuesta habitual a una base de datos de contraseñas vulnerada es un restablecimiento. El restablecimiento es necesario, pero no cubre todo el riesgo. Si el almacenamiento original de contraseñas permitía adivinanzas significativas sin conexión, los atacantes pueden conocer los hábitos de contraseñas del usuario incluso después de que ya no se pueda acceder a la cuenta de Adobe con el antiguo secreto. Si la misma contraseña u otra relacionada se reutilizó en otro lugar, las otras cuentas del usuario pueden seguir expuestas.
Si las pistas de contraseñas estaban disponibles en claro o en forma adivinable, pueden seguir ayudando a los atacantes. El coste a largo plazo recae sobre el usuario, no solo sobre la empresa vulnerada.
El análisis de Ars Technica centrado en las contraseñas enhttp://arstechnica.com/security/2013/11/how-an-epic-blunder-by-adobe-could-strengthen-hand-of-password-crackers/fue influyente porque explicó por qué importa la forma de proteger las contraseñas. El artículo no debería reducirse a una regañina técnica. Planteó un principio de responsabilidad: el diseño del almacenamiento determina cuánto valor pueden extraer los atacantes tras la exfiltración. Un sistema fuerte asume que el robo de la base de datos es posible y almacena los verificadores de contraseñas de forma que el robo sea menos útil. Un sistema heredado más débil puede convertir la base de datos en un conjunto de entrenamiento para descifradores de contraseñas.
La Guía de Almacenamiento de Contraseñas de OWASP enhttps://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.htmlproporciona un vocabulario moderno para este problema: hashing lento de contraseñas, salado, factores de trabajo, uso de "pimienta" cuando corresponda y migración desde esquemas débiles. Esos conceptos no son adornos a posteriori. Definen qué pruebas necesitan los usuarios y los auditores. Cuando una empresa dice que se restablecieron las contraseñas, el archivo público debería preguntar qué diseño de almacenamiento se retiró, qué nuevo diseño lo reemplazó, cómo se migraron los registros antiguos, si se conservaron los registros inactivos y si se minimizaron las pistas de contraseñas o los artefactos de recuperación de cuentas relacionados.
La guía actual de identidad digital del NIST enhttps://pages.nist.gov/800-63-4/sp800-63b.htmlrefuerza la idea de que la autenticación es un ciclo de vida. Incluye la emisión, el mantenimiento, la invalidación, los controles de sesión y la reparación. El restablecimiento de una contraseña es un evento en ese ciclo de vida. La recuperación de cuentas, las opciones de autenticación multifactor, la detección de secretos comprometidos, la reautenticación y la reparación de problemas de autenticación son importantes después de una vulneración. Para Adobe, la cuestión a largo plazo es si los clientes recibieron pruebas suficientes para saber hasta dónde podría extenderse el riesgo de sus credenciales más allá de la cuenta de Adobe.
El registro público muestra por qué "cifrado" puede ser una palabra insuficiente de cara al usuario. El cifrado, el hashing, el salado y las pistas de contraseñas tienen consecuencias diferentes, pero muchos avisos comprimen esas distinciones en una amplia garantía. Los usuarios no necesitan lecciones de criptografía, pero sí el resultado práctico. ¿Pueden los atacantes invertir o adivinar eficazmente las contraseñas antiguas? ¿Se expusieron las pistas? ¿Se incluyeron las cuentas inactivas? ¿Estaban vinculados al mismo fichero los identificadores de cliente, las direcciones de correo electrónico, los registros de pago u otros atributos?
El aviso debería responder a la pregunta sobre el riesgo del usuario, no solo a la categoría de divulgación de la empresa.
La exposición del código fuente convierte una vulneración en un problema de ciclo de vida del software
El evento de Adobe de 2013 también pertenece a esta serie porque la exposición del código fuente va más allá de la identidad del cliente. El antiguo anuncio del código fuente de Adobe, las preguntas frecuentes del SANS, los informes de Krebs, la cobertura de la BBC y la cobertura de Ars Technica trataron el incidente como si involucrara código fuente de los principales productos o componentes de Adobe. Los informes públicos hacían referencia a Acrobat, ColdFusion, ColdFusion Builder y, más tarde, a Photoshop. La cuestión de la responsabilidad no es si la exposición del código fuente crea automáticamente un exploit conocido.
Es si la empresa puede demostrar que la revisión de la seguridad del producto, la respuesta a las vulnerabilidades y la orientación al cliente cambiaron para adaptarse al nuevo riesgo.
El ciclo de vida del software y la dependencia del proveedor son fundamentales en la superficie de responsabilidad de Adobe. Muchos clientes dependen de las herramientas de Adobe para la producción creativa, los flujos de trabajo documentales, los formularios del sector público, el marketing empresarial y el manejo de PDF. No pueden migrar inmediatamente después de un evento de código fuente. Esa dependencia otorga al proveedor el deber de proporcionar pruebas claras de seguridad del producto: qué productos se vieron afectados, qué ramas se revisaron, qué parches o medidas de refuerzo fueron importantes y cómo podían los clientes supervisar los avisos posteriores. El índice actual de boletines de seguridad de Adobe enhttps://helpx.adobe.com/security/security-bulletin.htmlmuestra el vocabulario actual de avisos y parches, pero el público necesita el puente entre un evento de código fuente y la posterior garantía de seguridad del producto.
La custodia del código fuente es también una cuestión de gobernanza. Implica el acceso a los repositorios, la segmentación, la gestión de secretos, los controles de compilación, la revisión de código, el registro, la supervisión del acceso interno y externo, y la respuesta a incidentes. Las páginas de seguridad actuales de Adobe, comohttps://www.adobe.com/trust/security/product-security.htmlyhttps://www.adobe.com/trust/security/incident-response.html, describen los conceptos actuales del programa de seguridad, incluidos el ciclo de vida seguro del producto y la respuesta a incidentes. Son útiles porque muestran lo que un lector moderno debería esperar ver en un archivo de pruebas, aunque no puedan demostrar exactamente cómo funcionaban los sistemas de 2013.
El riesgo a largo plazo no es que los atacantes conserven el código fuente para siempre de forma sencilla. Es que los defensores necesitan la garantía de que el código expuesto fue revisado con una óptica diferente. Si los atacantes pudieron inspeccionar los detalles de implementación, los equipos de producto deberían preguntarse si la ofuscación se había tratado como un control oculto, si los componentes compartidos requerían revisión, si debía cambiarse la guía de endurecimiento de cara al cliente y si debían reexaminarse las vulnerabilidades históricas.
La continuidad del sector público entra en el expediente porque las herramientas documentales y las plataformas de aplicaciones web ampliamente implantadas pueden convertirse en dependencias institucionales. Un evento de seguridad del producto de esa magnitud no es un inconveniente privado.
Por eso el archivo de pruebas tiene que conectar los datos de los clientes y el código fuente, en lugar de tratarlos como titulares separados. La exposición de contraseñas afecta a los usuarios y a los equipos de identidad. La exposición del código fuente afecta a los desarrolladores, las empresas y los compradores de software. La misma respuesta a la vulneración necesita vías separadas, pero esas vías deberían compartir una cronología y un responsable de gobernanza.
Si la empresa dice que los clientes deben restablecer las contraseñas mientras los equipos de producto revisan el código fuente en silencio, los externos no pueden juzgar si el evento ha sido contenido. La responsabilidad exige que ambas vías sean lo suficientemente visibles para que las organizaciones dependientes puedan planificar.
La calidad del aviso determina si los usuarios pueden proteger otras cuentas
El problema del aviso de Adobe no fue solo el recuento inicial de usuarios afectados. Fue la cuestión práctica de qué debían hacer los usuarios más allá de Adobe. La cobertura de la BBC enhttps://www.bbc.com/news/technology-24740873informó de que Adobe restableció las contraseñas y de que la reutilización de credenciales en otros servicios seguía siendo un riesgo. Ese es el núcleo de la responsabilidad de identidad a largo plazo. La empresa puede desactivar la antigua contraseña de Adobe. No puede restablecer todas las demás cuentas en las que el cliente la reutilizó. Por lo tanto, el aviso debe decir lo suficiente sobre el riesgo de las credenciales para impulsar una acción proporcional en otros lugares.
Un aviso eficaz separaría varias cosas: cuentas activas, cuentas inactivas, identificadores de cliente, direcciones de correo electrónico, contraseñas cifradas, pistas de contraseñas, datos de tarjetas de pago, exposición del código fuente y estado del restablecimiento. También explicaría lo que la empresa aún no podía validar. En un incidente de rápida evolución, las cifras pueden cambiar. Eso no hace inútil la divulgación temprana. Significa que la divulgación temprana debe ser explícita sobre la incertidumbre. Un usuario puede entender que el recuento puede aumentar.
El usuario no puede actuar bien si un aviso reduce toda la incertidumbre a una declaración confiada pero incompleta.
La guía de respuesta a violaciones de datos de la FTC enhttps://www.ftc.gov/business-guidance/resources/data-breach-response-guide-businessayuda porque trata el aviso como parte de la respuesta, no de las relaciones públicas. La guía de información personal de la FTC enhttps://www.ftc.gov/business-guidance/resources/protecting-personal-information-guide-businesstambién apunta a la minimización y a las salvaguardias antes del incidente. Para Adobe, la cuestión de cara al usuario es si el aviso tradujo los hechos técnicos en pasos: restablecer la contraseña de Adobe, cambiar las contraseñas reutilizadas en otros lugares, supervisar las cuentas de pago, estar atento a los intentos de phishing y comprender lo que la exposición del código fuente significaba o no para los usuarios del producto.
La misma lógica se aplica a los participantes en demandas colectivas y a los reguladores. Los procesos legales a menudo se centran en la legitimación, los daños, el acuerdo y las pruebas procesales. Esos registros importan, pero no sustituyen a las pruebas técnicas. Los clientes necesitaban entender el riesgo continuo para sus identidades y cuentas. Los reguladores necesitaban entender si el diseño del almacenamiento, los registros inactivos, las pistas de contraseñas y las prácticas de notificación se ajustaban a las expectativas de seguridad razonables.
Los compradores de software necesitaban entender si la revisión de seguridad del producto alcanzó al código afectado. Un único canal de divulgación rara vez sirve a todas esas audiencias a menos que esté deliberadamente estructurado.
Por lo tanto, el estándar de notificación debería medirse por las decisiones posteriores. ¿Podía un cliente determinar si debía cambiar las contraseñas en otros servicios? ¿Podía un equipo de identidad empresarial decidir si buscar la reutilización de contraseñas de Adobe en las cuentas corporativas? ¿Podía un desarrollador decidir si supervisar más de cerca los avisos de Adobe? ¿Podía un comprador del sector público hacer las preguntas adecuadas sobre adquisiciones y parches? Si el aviso no apoyaba esas decisiones, dejaba el riesgo a largo plazo fuera del marco de responsabilidad de la empresa.
Los registros inactivos hacen que los sistemas heredados formen parte del daño
Los registros inactivos son un problema recurrente en las violaciones de cuentas antiguas. La información de la BBC indicaba que Adobe creía que los atacantes habían accedido a los detalles de cuentas sin usar durante dos o más años, además de a los usuarios activos. Ese hecho es importante porque las cuentas inactivas suelen recibir menos atención tanto de las empresas como de los usuarios.
Un usuario puede no recordar un antiguo ID de Adobe, puede no supervisar su dirección de correo electrónico, puede haber reutilizado la contraseña hace años y puede no entender por qué una antigua cuenta de software creativo crea un riesgo de identidad actual. Por lo tanto, las decisiones de retención y migración de la empresa determinan la exposición actual del usuario.
Los sistemas de cuentas heredados también complican la reparación. Si un antiguo sistema de almacenamiento de contraseñas estaba previsto para ser retirado o no formaba parte de la ruta de autenticación actual, la empresa aún tiene que demostrar que los registros de ese sistema no pueden seguir perdiendo valor. Retirar un sistema después de una violación no es suficiente si quedan copias heredadas, copias de seguridad, registros, pistas o cuentas inactivas.
El archivo público debería indicar cómo se inventariaron los antiguos almacenes, cómo se protegieron, cómo se eliminaron o migraron y cómo verificó la empresa que ningún registro de credenciales paralelo seguía suponiendo un riesgo.
La soberanía y la localidad de los datos aparecen aquí como preocupaciones prácticas de gobernanza de registros. Adobe prestaba servicio a clientes de todo el mundo, y los registros de identidad pueden cruzar los límites de productos, suscripciones, asistencia, pagos y regiones. Un cliente en una jurisdicción puede tener derechos de notificación diferentes a los de otro, pero el riesgo técnico de una pista de contraseña o de una contraseña reutilizable no respeta esa frontera. Un archivo de responsabilidad a largo plazo debería explicar las categorías de datos de forma que viajen.
No debería exigir a cada jurisdicción, cliente o comprador que reconstruya el diseño del almacenamiento a partir de fragmentos.
El Marco de Ciberseguridad del NIST enhttps://www.nist.gov/cyberframeworky los Controles CIS enhttps://www.cisecurity.org/controlsproporcionan una forma de pensar en esto sin hacer afirmaciones infundadas sobre los sistemas internos de Adobe. El inventario, la gestión de identidades, la protección de datos, el registro, la respuesta a incidentes y la recuperación son todos relevantes. Una revisión de la junta debería preguntar si la empresa puede enumerar los antiguos almacenes de cuentas, identificar cuáles contienen material de autenticación, nombrar a los propietarios, documentar el motivo de la retención y demostrar que los almacenes obsoletos han sido eliminados o reforzados.
El caso de Adobe sigue siendo útil porque muestra cómo una violación puede revelar la arqueología de un sistema de cuentas. Las empresas suelen modernizar las puertas de entrada mientras los antiguos almacenes de registros permanecen en el sótano. Los clientes no pueden ver ese sótano. Solo se enteran de él cuando un incidente lo expone. Esa asimetría es la razón por la que los sistemas heredados necesitan responsabilidad pública cuando crean un riesgo actual.
Los estándares no son un veredicto, pero definen las pruebas de la reparación
Los estándares modernos de almacenamiento de contraseñas no deben utilizarse perezosamente como un veredicto retroactivo sobre un sistema de 2013. La tecnología cambia, los modelos de amenaza cambian y la orientación pública evoluciona. Pero los estándares siguen siendo necesarios porque definen cómo deberían ser ahora las pruebas de reparación. La guía de contraseñas de OWASP enhttps://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html, la guía de identidad del NIST enhttps://pages.nist.gov/800-63-4/sp800-63b.html, la guía de seguridad por diseño de CISA enhttps://www.cisa.gov/securebydesigny las páginas actuales del programa de seguridad de Adobe muestran juntas el vocabulario de un registro de reparación más sólido.
Las pruebas de la reparación deben responder a varias preguntas. ¿Qué esquema de almacenamiento de contraseñas estaba implicado? ¿Era unidireccional, con sal, lento y ajustado para resistir ataques fuera de línea? ¿Se almacenaron pistas de contraseñas y, en caso afirmativo, por qué? ¿Se conservaron las cuentas inactivas con los mismos datos que las activas? ¿Se retiraron los sistemas antiguos o simplemente se ocultaron de las rutas de inicio de sesión habituales? ¿El restablecimiento invalidó las sesiones y los tokens? ¿Se pidió a los usuarios que cambiaran las contraseñas reutilizadas en otros lugares?
¿Se dieron indicadores a los administradores de empresa para buscar la exposición? ¿Se dieron requisitos de revisión del código fuente a los equipos de seguridad del producto?
Esas preguntas son cuestiones de evidencia, no acusaciones. Una empresa puede responderlas de forma que proteja los detalles sensibles de la implementación. Puede describir clases de sistemas, pasos de corrección, hitos de migración y garantías externas sin publicar recetas de explotación. Lo que no debería hacer es pedir a los clientes que acepten "hemos restablecido las contraseñas" como la reparación completa. Un restablecimiento es visible. La migración del almacenamiento, la minimización de pistas, la limpieza de cuentas inactivas y la revisión del código fuente son menos visibles.
Esa es exactamente la razón por la que necesitan pruebas responsables.
El archivo público también debe distinguir los documentos normativos de las obligaciones legales. Las guías de la FTC son orientaciones empresariales. Los documentos del NIST y de la CISA son normas u orientaciones públicas. OWASP es una guía de seguridad comunitaria. El Centro de Confianza de Adobe está redactado por la empresa. Ninguna de esas fuentes por sí sola es una conclusión judicial. Pero el solapamiento entre ellas es útil: la autenticación fuerte, el almacenamiento sólido de contraseñas, la minimización, la respuesta a incidentes, la seguridad del producto y la reparación aparecen como temas de control duraderos.
Un artículo de responsabilidad a largo plazo utiliza ese solapamiento para definir el archivo de reparación que los clientes merecían.
Este enfoque evita un error común en la redacción retrospectiva de violaciones. No dice: "Aquí hay una lista de comprobación moderna, por lo tanto la antigua empresa falló en todos los puntos". Dice: "Aquí están las pruebas que ahora serían necesarias para demostrar que el riesgo dejó de transferirse". La distinción es importante. La responsabilidad no es solo un juicio moral sobre el pasado. Es una exigencia de pruebas de que las antiguas decisiones de diseño ya no perjudican a las personas que no pueden inspeccionar el sistema por sí mismas.
La confianza en el producto y la confianza en la identidad iban de la mano
La violación de Adobe fue importante porque la confianza en el producto y la confianza en la identidad iban de la mano. Los clientes utilizaban las cuentas de Adobe para el acceso al software, la gestión de suscripciones, los pagos, las actualizaciones, la asistencia y la identidad. Los desarrolladores y las empresas dependían de los productos de Adobe para los flujos de trabajo documentales y creativos. Las organizaciones del sector público dependían de los formatos y herramientas de Adobe en formularios, registros y comunicaciones.
Cuando los datos de los clientes y el código fuente aparecieron en el mismo marco público de incidentes, la empresa tuvo que proteger tanto la capa de identidad como la capa de producto.
Esa doble superficie de confianza es visible en las páginas actuales de Adobe. El Centro de Confianza enhttps://www.adobe.com/trust.htmlhace hincapié en la seguridad, la privacidad, la disponibilidad, el cumplimiento y los recursos del producto. La descripción general de la seguridad enhttps://www.adobe.com/trust/security.htmltrata sobre el ciclo de vida seguro del producto, la seguridad operativa, la respuesta a incidentes y los boletines de seguridad. La página de respuesta a incidentes enhttps://www.adobe.com/trust/security/incident-response.htmldescribe el enfoque actual para la supervisión y resolución de incidentes. La página de seguridad del producto enhttps://www.adobe.com/trust/security/product-security.htmldescribe procesos de desarrollo repetibles. Esas páginas son actuales, no pruebas de 2013. Sin embargo, muestran la estructura de pruebas integrada que un comprador de software moderno debería esperar.
Un comprador debería poder preguntar: si se expusieron las contraseñas de los clientes, ¿qué cambió en los sistemas de identidad? Si se accedió al código fuente del producto, ¿qué cambió en la revisión de seguridad del producto? Si los sistemas antiguos contenían material de contraseñas, ¿qué cambió en la gestión del ciclo de vida? Si los clientes tuvieron que restablecer las credenciales, ¿qué orientación les ayudó a gestionar la reutilización en otros lugares? Si el código antiguo o los almacenes de cuentas antiguos crearon riesgos después de la fecha de divulgación, ¿qué pruebas cerraron la cola?
La confianza en el producto y la confianza en la identidad no pueden separarse cuando la misma cuenta desbloquea el software, los pagos, la asistencia, las actualizaciones y la administración empresarial.
Aquí es también donde el ciclo de vida del software y la dependencia del proveedor se convierten en temas de responsabilidad en lugar de abstracciones empresariales. A menudo, los clientes no pueden abandonar rápidamente a un proveedor de software principal. Sus archivos, flujos de trabajo, formación del personal, integraciones y calendarios de adquisición los mantienen dependientes. Esa dependencia aumenta el deber del proveedor de proporcionar pruebas utilizables después de una violación. Un cliente que no puede salir fácilmente necesita saber cómo seguir utilizando el producto de forma segura.
Un aviso vago hace que la dependencia sea más costosa porque deja al cliente dependiente inventar su propio plan de garantía.
Por lo tanto, el caso de Adobe sigue siendo relevante hoy en día para el software en la nube y por suscripción. Los sistemas de cuentas acumulan datos antiguos. Los repositorios de código fuente y los sistemas de compilación se convierten en objetivos de alto valor. Los clientes dependen de las capas de identidad controladas por el proveedor. Los usuarios del sector público dependen de los formatos de archivo y de los canales de actualización.
Una violación que expone el material de las cuentas y el código fuente del producto se convierte en una prueba de si el proveedor puede convertir la reparación privada en garantía pública sin exponer nuevos detalles sensibles.
La larga cola es donde se suele perder la responsabilidad
El riesgo de identidad a largo plazo es difícil de gobernar porque sobrevive al calendario de incidentes. La empresa puede completar un restablecimiento, cerrar una investigación, actualizar una página de seguridad del producto y publicar nuevos avisos, mientras los clientes siguen arrastrando hábitos de credenciales aprendidos por los atacantes del antiguo conjunto de datos. Por eso el caso de Adobe sigue siendo valioso. Muestra que la unidad de responsabilidad no es solo la base de datos violada.
Es la cadena de decisiones posteriores que los clientes, las empresas y los equipos de seguridad deben tomar con un conocimiento parcial de lo que la base de datos reveló.
La larga cola también cambia el significado del daño. Un usuario puede no perder dinero directamente de la cuenta de Adobe. En su lugar, puede recibir phishing dirigido, descubrir que una contraseña antigua se reutilizó en un servicio no relacionado, pasar tiempo revisando los registros de pago o formar parte de un corpus de descifrado de contraseñas que mejora los ataques contra otras personas. Esos costes son difusos y difíciles de cuantificar, pero no son imaginarios.
Surgen del hecho de que el material de contraseñas, las direcciones de correo electrónico, las pistas y el historial de cuentas pueden recombinarse después de que la cuenta original esté bloqueada.
Las empresas se enfrentan a un problema paralelo. Un equipo de identidad corporativa puede tener empleados que utilizaron direcciones de correo electrónico del trabajo para cuentas de Adobe o reutilizaron contraseñas relacionadas. El equipo necesita saber si debe buscar secretos comprometidos, forzar restablecimientos, comprobar las excepciones de inicio de sesión único, advertir al personal o supervisar las campañas de phishing. Esa decisión depende de la calidad de las pruebas públicas. Si el aviso de un proveedor solo explica que se restablecieron las contraseñas, deja a los equipos de la empresa inferir el resto.
Si el aviso explica el diseño del almacenamiento, las poblaciones afectadas, los registros inactivos y las acciones empresariales recomendadas, se convierte en una entrada de control utilizable.
Los compradores del sector público tienen otra dependencia. Las herramientas de Adobe están a menudo integradas en los flujos de trabajo documentales, la gestión de formularios, la producción creativa, los registros de adquisiciones y las comunicaciones públicas. Un evento de código fuente puede no requerir que todas las agencias dejen de usar el producto, pero debería suscitar preguntas sobre los avisos, la cadencia de actualización, los controles compensatorios y la garantía del proveedor. El proveedor responsable no tiene que publicar detalles sensibles del código.
Lo que sí tiene que hacer es dar a los clientes una base razonada para continuar las operaciones de forma segura.
La larga cola es donde se suele perder la responsabilidad porque para entonces todo el mundo está cansado. La prensa ha pasado a otro tema, el expediente legal es lento, los usuarios han restablecido las contraseñas y los equipos de producto han vuelto al trabajo programado. Pero a los atacantes no les importa el calendario de incidentes. Les importan los secretos reutilizables, el conocimiento del código y los débiles controles posteriores.
Por lo tanto, un registro de reparación maduro necesita una fase de mantenimiento: orientación actualizada para el cliente, notas para el administrador de la empresa, seguimiento de la seguridad del producto y confirmación de que los antiguos almacenes se limpiaron en lugar de simplemente olvidarse.
Las pruebas deben viajar de los equipos de seguridad a los clientes
Otra lección del caso de Adobe es que el trabajo de seguridad privado tiene que ser traducido sin ser vaciado de contenido. Los equipos de seguridad pueden saber qué almacenes quedaron expuestos, qué esquema criptográfico se utilizó, a qué repositorios de código se accedió, qué grupos de clientes fueron notificados y qué sistemas se retiraron. Los clientes no necesitan los detalles internos en bruto, pero sí una versión pública precisa de esos hechos. Si la traducción elimina las distinciones que importan, el aviso se vuelve menos útil que la evidencia privada que lo produjo.
La traducción debe estar deliberadamente estratificada. La primera capa es para los usuarios individuales: restablecer la contraseña de Adobe, cambiar las contraseñas reutilizadas en otros lugares, estar atentos al phishing, supervisar los instrumentos de pago si procede y entender si los datos de las tarjetas de pago estaban implicados. La segunda capa es para los administradores de empresa: identificar los dominios de correo electrónico corporativo afectados, evaluar la reutilización de credenciales, supervisar los fallos de inicio de sesión, comunicarse con el personal y hacer un seguimiento de los avisos del proveedor.
La tercera capa es para los compradores de software: preguntar sobre la revisión del código fuente, los cambios en el desarrollo seguro, la cadencia de los boletines y los compromisos de soporte. La cuarta capa es para los reguladores y los tribunales: conservar las fechas, los recuentos, las categorías de datos, los registros de notificación y las pruebas de corrección.
Cada capa debe preservar los mismos hechos con diferentes niveles de detalle técnico. Esa es la mejor manera de evitar contradicciones. Si a los usuarios solo se les dice que restablezcan las contraseñas mientras a los administradores se les dice que el código fuente quedó expuesto, el archivo público parece fragmentado. Si los abogados describen el material de contraseñas cifrado mientras los analistas de seguridad explican por qué el diseño seguía ayudando al descifrado, el público puede oír al mismo tiempo tranquilidad y alarma.
Un archivo de responsabilidad sólido hace que esas declaraciones sean compatibles explicando la consecuencia práctica de cada término.
El lenguaje actual del Centro de Confianza de Adobe es relevante porque muestra que las empresas entienden ahora la garantía como un producto público. Las descripciones de los programas de seguridad, las páginas de respuesta a incidentes, las páginas de seguridad del producto y los índices de boletines forman parte de cómo los compradores juzgan la confianza. La lección de 2013 es que esos sistemas de garantía pública deberían estar listos antes de que una violación les obligue a soportar una historia compleja. Una página de confianza que solo existe para las ventas no puede hacer el trabajo.
Una página de confianza conectada a las pruebas, los avisos y los propietarios responsables sí puede.
Por lo tanto, el archivo de reparación debería diseñarse como una tubería de pruebas. Los hallazgos forenses internos se convierten en categorías de clientes. Las categorías de clientes se convierten en avisos y orientación para los administradores. Los hallazgos de seguridad del producto se convierten en avisos y cambios en el ciclo de vida. Los registros legales se convierten en responsabilidad procesal sin sustituir al registro técnico. Las normas se convierten en puntos de referencia para la garantía futura.
Cuando esa tubería está ausente, cada audiencia construye su propia interpretación y la empresa pierde el control del significado público de su reparación.
Un archivo de reparación completo de Adobe preservaría la cola
Un archivo de reparación completo comenzaría con una cronología validada. Enumeraría cuándo se detectó la intrusión, cuándo se confirmó la exposición de los datos de los clientes, cuándo se confirmó el acceso al código fuente, cuándo cambiaron los recuentos de afectados, cuándo se produjeron los restablecimientos de contraseñas, cuándo se enviaron los avisos a los clientes, cuándo se evaluaron los registros inactivos y cuándo se realizaron las revisiones de seguridad del producto o se publicaron los avisos. Cada fecha debería identificar las pruebas disponibles en ese momento. La cuestión no es castigar la incertidumbre inicial.
Es evitar que los resúmenes posteriores borren la incertidumbre que determinó las decisiones de los clientes.
La segunda parte sería un registro del diseño del almacenamiento. Explicaría el sistema de almacenamiento de contraseñas implicado, el tratamiento de las sales, los factores de trabajo, el cifrado o hashing, las pistas de contraseñas, los registros inactivos y la migración a un almacenamiento más fuerte. También describiría qué almacenes heredados se retiraron, qué copias de seguridad se conservaron y cómo se hizo menos útil el material de credenciales antiguo. Los clientes no necesitan los detalles secretos de la implementación. Sí necesitan la confianza de que el antiguo diseño dejó de transferir riesgos.
La tercera parte sería un registro de acciones para el cliente. Separaría los restablecimientos de cuentas de Adobe del riesgo de contraseñas reutilizadas en otros lugares. Daría a los administradores de empresa orientación para buscar la exposición de credenciales corporativas. Daría a los clientes individuales consejos claros sobre el cambio de contraseñas reutilizadas, la vigilancia de las cuentas de pago y la resistencia al phishing basado en la violación. Explicaría si la supervisión del crédito o la ayuda contra el robo de identidad se aplicaban a poblaciones específicas.
Preservaría las diferencias entre la exposición de tarjetas de pago, la exposición de ID de cuenta, la exposición de contraseñas y la exposición del código fuente.
La cuarta parte sería un registro de seguridad del producto. Explicaría qué repositorios de código fuente de productos estaban implicados, qué líneas de productos se revisaron, qué avisos o parches estaban relacionados, si los había, y cómo debían los clientes supervisar los futuros boletines. También explicaría lo que no se sabía. La exposición del código fuente no es lo mismo que una vulnerabilidad confirmada en todos los productos. Pero cambia la carga de la garantía. Un proveedor de software debería poder demostrar que examinó el código y el proceso de desarrollo teniendo en cuenta la exposición.
Por último, el archivo de reparación debería tener un estándar de cierre. El cierre no debería significar que la atención pública haya pasado a otra cosa o que el primer restablecimiento de contraseñas haya terminado. El cierre debería significar que se inventariaron los antiguos almacenes de cuentas, se reforzó el diseño del almacenamiento, se abordaron los registros inactivos, se revisó la exposición del código fuente del producto, se entregó la orientación al cliente y se nombró la incertidumbre restante. Para Adobe, la lección a largo plazo es que las pruebas del almacenamiento de contraseñas tienen que sobrevivir al ciclo de noticias.
Archivo de pruebas para el lector
El artículo utiliza las siguientes fuentes públicas como archivo de lectura para el caso de la violación de datos de clientes de Adobe de 2013, el almacenamiento de contraseñas, la exposición del código fuente, el restablecimiento de clientes y el registro de responsabilidad de identidad a largo plazo. Los anuncios de la empresa se tratan como evidencia de lo que Adobe dijo públicamente en su momento. Las noticias y los análisis de seguridad se utilizan para la cronología y el contexto técnico.
Las páginas de confianza actuales de la empresa y las guías de estándares se utilizan para definir las pruebas de reparación modernas, en lugar de para probar los controles internos de 2013.
- Fuente pública utilizada para el archivo de pruebas:http://blogs.adobe.com/conversations/2013/10/important-customer-security-announcement.html
- Fuente pública utilizada para el archivo de pruebas:http://blogs.adobe.com/asset/2013/10/illegal-access-to-adobe-source-code.html
- Fuente pública utilizada para el archivo de pruebas:https://www.bbc.com/news/technology-24740873
- Fuente pública utilizada para el archivo de pruebas:https://isc.sans.edu/diary/The+Adobe+Breach+FAQ/16727
- Fuente pública utilizada para el archivo de pruebas:http://krebsonsecurity.com/2013/10/adobe-to-announce-source-code-customer-data-breach/
- Fuente pública utilizada para el archivo de pruebas:http://arstechnica.com/security/2013/10/adobe-source-code-and-customer-data-stolen-in-sustained-network-hack/
- Fuente pública utilizada para el archivo de pruebas:http://arstechnica.com/security/2013/11/how-an-epic-blunder-by-adobe-could-strengthen-hand-of-password-crackers/
- Fuente pública utilizada para el archivo de pruebas:https://www.adobe.com/trust.html
- Fuente pública utilizada para el archivo de pruebas:https://www.adobe.com/trust/security.html
- Fuente pública utilizada para el archivo de pruebas:https://www.adobe.com/trust/security/incident-response.html
- Fuente pública utilizada para el archivo de pruebas:https://www.adobe.com/trust/security/product-security.html
- Fuente pública utilizada para el archivo de pruebas:https://helpx.adobe.com/security/security-bulletin.html
- Fuente pública utilizada para el archivo de pruebas:https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html
- Fuente pública utilizada para el archivo de pruebas:https://pages.nist.gov/800-63-4/sp800-63b.html
- Fuente pública utilizada para el archivo de pruebas:https://www.ftc.gov/business-guidance/resources/protecting-personal-information-guide-business
- Fuente pública utilizada para el archivo de pruebas:https://www.ftc.gov/business-guidance/resources/data-breach-response-guide-business
- Fuente pública utilizada para el archivo de pruebas:https://www.cisa.gov/securebydesign
- Fuente pública utilizada para el archivo de pruebas:https://www.nist.gov/cyberframework
- Fuente pública utilizada para el archivo de pruebas:https://www.cisecurity.org/controls
Este archivo de pruebas es deliberadamente más amplio que un solo anuncio porque el problema de la larga cola abarca el almacenamiento de contraseñas, los registros inactivos, la custodia del código fuente, el restablecimiento de cuentas, la garantía del producto y la dependencia del comprador de software. El registro público debería permitir a los lectores separar la reparación de la identidad del cliente de la reparación de la seguridad del producto sin fingir que esas tareas no están relacionadas.
Preguntas para la revisión de la junta
Una revisión de la junta debería preguntar quién era el propietario de los almacenes de cuentas heredados, quién era el propietario de la migración del almacenamiento de contraseñas, quién era el propietario del aviso al cliente, quién era el propietario del acceso a los repositorios de código fuente, quién era el propietario de la revisión de seguridad del producto, quién era el propietario de la orientación al cliente empresarial y quién era el propietario del cierre. La respuesta debería ser un mapa de control, no una narración del esfuerzo.
Los mapas de control hacen más difícil que los sistemas antiguos sigan siendo el riesgo de todos y el deber de nadie.
La revisión también debería exigir pruebas de que los registros inactivos están gobernados. Las cuentas antiguas, las copias de seguridad antiguas, las pistas antiguas y los almacenes de autenticación antiguos deberían tener propietarios, razones de conservación, normas de protección y fechas de eliminación. Si un cambio de producto a suscripción aumenta el valor de la identidad de la cuenta, la empresa debería revisar los almacenes antiguos antes de que lo hagan los atacantes. Heredado no significa inofensivo.
La junta debería exigir un manual de exposición del código fuente. Debería definir el aislamiento de repositorios, la rotación de credenciales y secretos, los desencadenantes de la revisión de código, las reglas de aviso al cliente, la revisión del endurecimiento del producto y las pruebas para los clientes dependientes. Un evento de código fuente puede no requerir detalles públicos sobre todos los repositorios internos, pero sí requiere la garantía suficiente para los clientes que deben seguir utilizando el software.
Para este caso específico, una revisión de la junta debería preguntar: ¿quién tenía el control práctico sobre el diseño del almacenamiento de contraseñas, la protección del código fuente, el aviso de violación, el restablecimiento de clientes, la minimización de los campos expuestos, las pruebas del acuerdo y la demostración de que los sistemas de cuentas heredados no siguieron transfiriendo riesgos después de la fecha de divulgación?
La respuesta debería incluir pruebas fechadas, propietarios nombrados, pruebas de la migración del almacenamiento de contraseñas, la limpieza de registros inactivos, la revisión de la seguridad del producto, la orientación de acción al cliente y la incertidumbre residual que no desapareció cuando se completó el primer restablecimiento.

