華文網

二十一世紀14大資料洩露事件

安全從業者從專業角度出發票選出14起最嚴重資料安全事件

資料安全事故每天都在上演,統計資料分分秒秒在增加記錄條目。但是,重大資料洩露和小型資料安全事故之間的差別在哪裡呢?請看下列本世紀最重大資料洩露清單,你會發現其中關鍵。

該清單未必基於被泄記錄數量,而是根據資料洩露事件對公司、保險公司、用戶或帳戶持有者造成的破壞或風險定出的。某些案例中,口令和其他資訊收到加密措施良好保護,

因而口令重置就消弭了大部分風險。

1. 雅虎

影響:15億用戶帳戶

2016年9月,在與威瑞森談判收購事宜期間,該曾經的互聯網巨頭宣稱,在2014年時成為了史上最大資料洩露事件受害者,洩露事件有可能是國家支持駭客所為。該攻擊染指了5億用戶的真實姓名、電郵地址、生日和電話號碼等資訊。

雅虎稱,絕大部分涉事口令都經強壯的bcrypt演算法進行了散列加密。

幾個月後,該年12月,隨著2013年另一駭客組織盜走10億帳戶的事件被披露,早前的記錄被刷新。除了姓名、生日、郵箱地址和口令並未像2014年被盜帳戶一樣保護良好,這次事件中,安全問題和答案也沒能保住。

該洩露事件直接造成雅虎拋售價格縮水3.5億美元的估值,最終以44.8億美元被威瑞森收購了其核心互聯網業務。

收購協定要求兩家公司共同承擔資料洩露事件的監管和法律責任。收購案並未包含阿裡巴巴集團控股的413億美元投資和雅虎日本的93億美元所有者權益。

雅虎成立於1994年,曾被估值1000億美元。收購案後,該公司更名為Altaba。

2. Adult Friend Finder

影響:超4.122億帳戶

FriendFinder Network 包含約炮和成人內容網站,比如 Adult Friend Finder、Penthouse.com、Cams.com、iCams.com和Stripshow.com,約在2016年10月中旬被黑。駭客從6個資料庫中收集到了20年的資料,包含姓名、郵箱地址和口令。

大多數口令僅用SHA-1散列演算法加密,意味著99%的口令,在11月14號LeakedSource.com公佈了對整個資料集的分析後,都被破解了。

推特帳號1x0123,其他圈子昵稱Revolver(左輪手槍)的研究人員,貼出了取自 Adult Friend Finder 的截屏,顯示本地檔包含漏洞(LFI)被觸發。該漏洞是在 Adult Friend Finder 所用產品伺服器的一個模組中被發現的。

AFF副總裁發表了聲明,稱:“我們確實發現也修復了通過注入漏洞訪問原始程式碼的相關功能。”

3. eBay

影響:1.45億用戶

該線上拍賣巨頭報告稱,2014年5月的一場網路攻擊,致使其全部1.45億使用者的姓名、地址、生日和加密口令被曝光。該公司稱,駭客利用3名公司雇員的憑證侵入公司網路,在駐留公司網路內部的229天時間裡,獲取到了該使用者資料庫。

該公司請求客戶修改口令,但表示,金融資訊,比如信用卡號,是被單獨存儲的,且並未被黑。當時,該公司被批缺乏與其用戶的溝通,口令更新過程也很糟糕。

CEO約翰·多納休稱,該資料洩露事件導致了使用者活動減少,但基本沒有影響其基線——第二季度盈利增長13%,收益增長6%,與分析師與其相符合。

4. 哈特蘭支付系統公司

影響:哈特蘭的資料被駭客經由SQL注入方法安裝了間諜軟體,導致1.34億信用卡資訊被曝光。

事發當時,哈特蘭每月要負責處理17.5萬商戶的1億支付卡交易——多為中小型零售商戶。直到2009年1月,Visa和MasterCard通報哈特蘭其處理帳戶中有可疑交易,資料洩露才被發現。

造成後果包括哈特蘭被判違反支付卡行業資料安全標準( PCI DSS ),2009年5月前不准處理主流信用卡供應商的支付。該公司賠付了約1.45億欺詐支付補償金。

聯邦大陪審團在2009年起訴艾爾伯特·岡薩雷斯和2名俄羅斯共犯。岡薩雷斯是古巴裔美國人,被控策劃了這起盜取信用卡借記卡的跨國犯罪活動。2010年他被判在聯邦監獄服刑20年。SQL注入漏洞廣為人知,安全分析師數年前就早已警告過零售商。然而,很多面向Web的應用中該漏洞一直持續,讓SQL注入成為了當時最常見的網站攻擊形式。

5. 塔吉特百貨

影響:1.1億人的信用卡資訊和連絡人資訊

該資料洩露實際上從感恩節就開始了,但直到數周後才被發現。零售巨頭塔吉特最初宣稱,駭客通過協力廠商暖通空調供應商訪問到其銷售終端(POS)支付卡讀取器,收集了約4000萬信用卡和借記卡號。

然而,2014年1月,該公司提升了估計數字,報告稱有7000萬客戶的個人可識別資訊(PII)被泄。其中包括有全名、地址、郵箱和電話號碼。最終估測是,該資料洩露影響到1.1億客戶。

塔吉特CIO於2014年3月辭職,CEO在5月辭職。該公司最近估測,該起資料洩露造成的損失高達1.62億美元。

該公司被認為做出了重大安全改進。但是,前趨勢科技CSO,現 Strategic Cyber Ventures CEO 湯姆·凱勒曼,將一項於2017年5月宣佈的和解協議(給了塔吉特180天做出具體安全整改),描述為“象徵性的懲罰”,“代表著過時的安全模式。”——因為整改要求集中在阻止攻擊者,而不是改進事件回應上。

6. TJX公司

影響:9400萬信用卡暴露

事發原因眾說紛紜。一個猜測是,某駭客組織利用了脆弱資料加密系統,從邁阿密兩家Marshall商店的無線傳輸中盜取了信用卡資料。另一種說法是,駭客通過店內可電子化申請崗位的查詢機攻入TJX網路。

艾爾伯特·岡薩雷斯,哈特蘭資料洩露事件中的傳奇駭客頭子,因帶領小弟盜取信用卡而被判入獄20年,另有11名共犯被逮捕。岡薩雷斯曾是hi美國特勤局的線人,犯罪時工資標準是7.5萬美元。政府在其判決備忘中宣稱,涉事公司、銀行和保險商損失了近2億美元。

7. 摩根大通銀行

影響:7600萬家庭和700萬小企業

2014年夏天,該美國最大銀行,淪為了侵害美國半數家庭和700萬小企業的資料洩露案受害者。據美國證券交易委員會檔透露,被泄資料包括連絡人資訊——姓名、位址、電話號碼和郵箱地址,以及使用者的內部資訊。

該銀行稱,客戶資金並未被盜,沒有證據顯示這些受影響客戶的帳戶資訊——帳戶號、口令、用戶ID、生日或社會安全號,在攻擊中被洩露。

而且,駭客據稱有能力在該銀行90多台伺服器上獲取到“root”許可權,意味著他們可以進行包括轉帳和註銷帳戶在內的各種行動。SANS研究所稱,摩根大通每年的安全開支有2.5億美元。

2015年11月,聯邦政府起訴了4名男子,罪名是摩根大通駭客案和其他金融機構駭客行為。格裡·沙龍、約書亞·薩繆爾·艾倫和齊夫·奧蘭斯坦面臨23項指控,包括未授權電腦訪問、身份盜竊、證券欺詐和洗錢等為他們賺取了1億美元的犯罪活動。説明這3人突破金融機構網路的第4名駭客至今未被發現。

沙龍和奧蘭斯坦都是以色列人,在2016年6月拒不認罪。艾倫在去年12月於紐約甘迺迪機場被抓。

8. 美國人事管理局(OPM)

影響:2200萬在職和退休聯邦雇員個人資訊

駭客據稱來自中國,自2012年起就進駐了OPM的電腦系統,但直到2014年3月20日才被檢測出來。另一駭客或駭客組織,在2014年5月通過協力廠商承包商進入OPM,但直到近1年後才被發現。入侵者滲漏了大量個人資料,包括很多詳細的安全調查資訊和指紋資料。

去年,前FBI局長詹姆斯·科米談及所謂SF-86表裡所含資訊——該表用於執行雇員安全調查的背景審查。他說:“我的SF-86表列出了我自18歲起生活過的每一處地方,我的每次海外旅行,我全部的家人及其住址。所以,不僅僅是我個人的身份受影響。我有兄弟姐妹,我有5個孩子。他們的資訊都在上面。”

眾議院監督與政府改革委員會在去年秋天發佈了一份報告,報告標題即總結了OPM資料洩露案:《OPM資料洩露:政府是怎麼危及我們的國家安全超過一代人以上的》。

9. 索尼 PlayStation Network

影響:7700萬 PlayStation Network 帳戶被黑;網站下線1個月,估算損失1.71億美元。

被視為有史以來最糟糕的遊戲社區資料洩露事件。超7700萬受影響帳戶中,1200萬個帳戶的信用卡被破解。駭客得到了帳戶全名、口令、郵箱、家庭地址、購買歷史、信用卡號和PSN/Qriocity登錄憑證。這足以讓每一個優秀安全人員驚異:“假若索尼的情況就是這麼糟糕,那其他坐擁上千萬使用者資料記錄的跨國公司情況又怎樣呢?”應提醒IT安全從業者,要在整個公司裡持續發現並應用安全控制。對客戶而言,則要注意自己交出資料的物件。訪問線上遊戲或其他虛擬資產或許不值這個價碼。

2014年,在關於該資料洩露的一場集體訴訟中,索尼同意支付1500萬美元的和解金。

10. Anthem

影響:7880萬客戶和前客戶個人資訊被盜

Anthem是美國第二大醫療保險公司,舊稱WellPoint。網路攻擊中,該公司當前客戶和前客戶的姓名、位址、社會安全號、生日和雇傭歷史被曝,客戶身份岌岌可危。

《財富》雜誌在1月份報導,全國調查結論顯示,某外國政府可能招募駭客執行了這一起醫療行業歷史上最大型的資料洩露案。據稱,資料洩露在事發前1年就已開始,起因是Anthem子公司裡某使用者點擊了網路釣魚郵件中的一個連結。該資料洩露的總損失尚無法估量,但應該不會少於1億美元。

2016年,Anthem稱,沒有證據表明客戶資料被出售、共用或用於欺詐。據說,信用卡和醫療資訊也沒有被拿走。

11. RSA Security

影響:可能有4000萬雇員記錄被盜

該安全巨頭SecurID身份驗證權杖資訊被盜的影響尚在討論之中。作為易安信旗下安全部門,RSA稱,兩個獨立的駭客團夥與某外國政府協作,發起了針對RSA雇員的網路釣魚攻擊,假冒該公司雇員信任的人,滲透進公司網路。

去年7月,易安信報告稱其在修復上至少花費了6600萬美元。RSA高管透露,客戶的網路沒有遭到入侵。但eIQnetworks的副總裁兼首席安全合規官並不買帳,稱:“RSA最開始模糊攻擊方法和被盜資料的做法於事無補。後續對洛克希德馬丁、L3和其他公司的攻擊只不過是時間早晚問題,而這些攻擊據說都或多或少受到RSA資料洩露的影響。除此之外還有心理上的損害。甚至RSA這種久負盛名的安全公司,竟然都會被黑,信心打擊太嚴重。

珍妮佛·巴尤,獨立資訊安全顧問間美國史蒂文斯理工學院教授,在2012年就曾公開表示,“該資料洩露是對安全產品行業的重大打擊,因為RSA簡直就是安全行業的標杆。他們是典型的安全廠商。這樣的廠商竟然也是脆弱點,可謂石破天驚。我不覺得有人會對此無所謂。”

12. VeriSign

影響:未披露資訊被盜

安全專家一致認為,VeriSign資料洩露事件中最麻煩的事,不是駭客得到了特權系統和資訊的訪問權,而是該公司處理事件的方式——很糟糕。VeriSign從未公佈過受到的攻擊。這些安全事件直到2011年才曝光,而且僅是通過一份美國證券交易委員會(SEC)強制的檔歸檔。

VeriSign在SEC季報中掩埋了資訊,弄得好像是普通的趣聞似的。

VeriSign稱沒有關鍵系統被攻破,比如DNS伺服器或證書伺服器,但確實提到:“我們的一小部分電腦和伺服器上的資訊受到了訪問。”該公司至今沒報告是哪些資訊被盜,又會對該公司及其客戶造成什麼影響。

13. 家得寶

影響:5600萬可信用卡/借記卡資訊被盜

該硬體與建築用品零售商在9月宣佈了已懷疑數周的事件——起始於4月或5月,其POS系統遭惡意軟體感染。該公司之後稱,調查結果顯示,有一獨特的定制惡意軟體偽裝成反病毒軟體安裝到其POS系統中。

2016年3月,該公司同意支付至少1950萬美元補償美國客戶,其中有1300萬美元基金用於補償顧客的資費損失,650萬美元投入一年半的持卡人身份防護服務。

和解覆蓋了約4000萬支付卡資料被盜的受害者,以及5200萬郵箱位址被盜的人。這兩種分類有部分重疊。該公司估算,此次資料洩露的稅前開銷約為1.61億美元,包括消費者和解和預期的保險賠償金。

14. Adobe

影響:3800萬使用者記錄

最早在10月初被安全博主布萊恩·克雷布斯報導,花了數周時間查清洩露範圍和內容。該公司最初報告稱,駭客盜取了近300萬加密客戶信用卡記錄,以及數量未知的使用者帳戶登錄資料。

10月末,Adobe稱,攻擊者獲取了3800萬“活躍用戶”的ID和加密口令。但克雷布斯報導稱,就在數天前有份檔被貼到了網上,似乎包含了超過1.5億取自Adobe的用戶名和散列加密口令對。數周的研究過後,最終結論是,除了幾個Adobe產品的原始程式碼,該次攻擊還暴露了客戶姓名、ID、口令和借記卡/信用卡資訊。

2015年8月,Adobe被要求支付110萬美元的訴訟費和未公開數目的使用者賠款,以平息違反《客戶記錄法案》和不正當商業行為的指控。2016年11月,支付給客戶的賠償金據稱有100萬美元。

在駐留公司網路內部的229天時間裡,獲取到了該使用者資料庫。

該公司請求客戶修改口令,但表示,金融資訊,比如信用卡號,是被單獨存儲的,且並未被黑。當時,該公司被批缺乏與其用戶的溝通,口令更新過程也很糟糕。

CEO約翰·多納休稱,該資料洩露事件導致了使用者活動減少,但基本沒有影響其基線——第二季度盈利增長13%,收益增長6%,與分析師與其相符合。

4. 哈特蘭支付系統公司

影響:哈特蘭的資料被駭客經由SQL注入方法安裝了間諜軟體,導致1.34億信用卡資訊被曝光。

事發當時,哈特蘭每月要負責處理17.5萬商戶的1億支付卡交易——多為中小型零售商戶。直到2009年1月,Visa和MasterCard通報哈特蘭其處理帳戶中有可疑交易,資料洩露才被發現。

造成後果包括哈特蘭被判違反支付卡行業資料安全標準( PCI DSS ),2009年5月前不准處理主流信用卡供應商的支付。該公司賠付了約1.45億欺詐支付補償金。

聯邦大陪審團在2009年起訴艾爾伯特·岡薩雷斯和2名俄羅斯共犯。岡薩雷斯是古巴裔美國人,被控策劃了這起盜取信用卡借記卡的跨國犯罪活動。2010年他被判在聯邦監獄服刑20年。SQL注入漏洞廣為人知,安全分析師數年前就早已警告過零售商。然而,很多面向Web的應用中該漏洞一直持續,讓SQL注入成為了當時最常見的網站攻擊形式。

5. 塔吉特百貨

影響:1.1億人的信用卡資訊和連絡人資訊

該資料洩露實際上從感恩節就開始了,但直到數周後才被發現。零售巨頭塔吉特最初宣稱,駭客通過協力廠商暖通空調供應商訪問到其銷售終端(POS)支付卡讀取器,收集了約4000萬信用卡和借記卡號。

然而,2014年1月,該公司提升了估計數字,報告稱有7000萬客戶的個人可識別資訊(PII)被泄。其中包括有全名、地址、郵箱和電話號碼。最終估測是,該資料洩露影響到1.1億客戶。

塔吉特CIO於2014年3月辭職,CEO在5月辭職。該公司最近估測,該起資料洩露造成的損失高達1.62億美元。

該公司被認為做出了重大安全改進。但是,前趨勢科技CSO,現 Strategic Cyber Ventures CEO 湯姆·凱勒曼,將一項於2017年5月宣佈的和解協議(給了塔吉特180天做出具體安全整改),描述為“象徵性的懲罰”,“代表著過時的安全模式。”——因為整改要求集中在阻止攻擊者,而不是改進事件回應上。

6. TJX公司

影響:9400萬信用卡暴露

事發原因眾說紛紜。一個猜測是,某駭客組織利用了脆弱資料加密系統,從邁阿密兩家Marshall商店的無線傳輸中盜取了信用卡資料。另一種說法是,駭客通過店內可電子化申請崗位的查詢機攻入TJX網路。

艾爾伯特·岡薩雷斯,哈特蘭資料洩露事件中的傳奇駭客頭子,因帶領小弟盜取信用卡而被判入獄20年,另有11名共犯被逮捕。岡薩雷斯曾是hi美國特勤局的線人,犯罪時工資標準是7.5萬美元。政府在其判決備忘中宣稱,涉事公司、銀行和保險商損失了近2億美元。

7. 摩根大通銀行

影響:7600萬家庭和700萬小企業

2014年夏天,該美國最大銀行,淪為了侵害美國半數家庭和700萬小企業的資料洩露案受害者。據美國證券交易委員會檔透露,被泄資料包括連絡人資訊——姓名、位址、電話號碼和郵箱地址,以及使用者的內部資訊。

該銀行稱,客戶資金並未被盜,沒有證據顯示這些受影響客戶的帳戶資訊——帳戶號、口令、用戶ID、生日或社會安全號,在攻擊中被洩露。

而且,駭客據稱有能力在該銀行90多台伺服器上獲取到“root”許可權,意味著他們可以進行包括轉帳和註銷帳戶在內的各種行動。SANS研究所稱,摩根大通每年的安全開支有2.5億美元。

2015年11月,聯邦政府起訴了4名男子,罪名是摩根大通駭客案和其他金融機構駭客行為。格裡·沙龍、約書亞·薩繆爾·艾倫和齊夫·奧蘭斯坦面臨23項指控,包括未授權電腦訪問、身份盜竊、證券欺詐和洗錢等為他們賺取了1億美元的犯罪活動。説明這3人突破金融機構網路的第4名駭客至今未被發現。

沙龍和奧蘭斯坦都是以色列人,在2016年6月拒不認罪。艾倫在去年12月於紐約甘迺迪機場被抓。

8. 美國人事管理局(OPM)

影響:2200萬在職和退休聯邦雇員個人資訊

駭客據稱來自中國,自2012年起就進駐了OPM的電腦系統,但直到2014年3月20日才被檢測出來。另一駭客或駭客組織,在2014年5月通過協力廠商承包商進入OPM,但直到近1年後才被發現。入侵者滲漏了大量個人資料,包括很多詳細的安全調查資訊和指紋資料。

去年,前FBI局長詹姆斯·科米談及所謂SF-86表裡所含資訊——該表用於執行雇員安全調查的背景審查。他說:“我的SF-86表列出了我自18歲起生活過的每一處地方,我的每次海外旅行,我全部的家人及其住址。所以,不僅僅是我個人的身份受影響。我有兄弟姐妹,我有5個孩子。他們的資訊都在上面。”

眾議院監督與政府改革委員會在去年秋天發佈了一份報告,報告標題即總結了OPM資料洩露案:《OPM資料洩露:政府是怎麼危及我們的國家安全超過一代人以上的》。

9. 索尼 PlayStation Network

影響:7700萬 PlayStation Network 帳戶被黑;網站下線1個月,估算損失1.71億美元。

被視為有史以來最糟糕的遊戲社區資料洩露事件。超7700萬受影響帳戶中,1200萬個帳戶的信用卡被破解。駭客得到了帳戶全名、口令、郵箱、家庭地址、購買歷史、信用卡號和PSN/Qriocity登錄憑證。這足以讓每一個優秀安全人員驚異:“假若索尼的情況就是這麼糟糕,那其他坐擁上千萬使用者資料記錄的跨國公司情況又怎樣呢?”應提醒IT安全從業者,要在整個公司裡持續發現並應用安全控制。對客戶而言,則要注意自己交出資料的物件。訪問線上遊戲或其他虛擬資產或許不值這個價碼。

2014年,在關於該資料洩露的一場集體訴訟中,索尼同意支付1500萬美元的和解金。

10. Anthem

影響:7880萬客戶和前客戶個人資訊被盜

Anthem是美國第二大醫療保險公司,舊稱WellPoint。網路攻擊中,該公司當前客戶和前客戶的姓名、位址、社會安全號、生日和雇傭歷史被曝,客戶身份岌岌可危。

《財富》雜誌在1月份報導,全國調查結論顯示,某外國政府可能招募駭客執行了這一起醫療行業歷史上最大型的資料洩露案。據稱,資料洩露在事發前1年就已開始,起因是Anthem子公司裡某使用者點擊了網路釣魚郵件中的一個連結。該資料洩露的總損失尚無法估量,但應該不會少於1億美元。

2016年,Anthem稱,沒有證據表明客戶資料被出售、共用或用於欺詐。據說,信用卡和醫療資訊也沒有被拿走。

11. RSA Security

影響:可能有4000萬雇員記錄被盜

該安全巨頭SecurID身份驗證權杖資訊被盜的影響尚在討論之中。作為易安信旗下安全部門,RSA稱,兩個獨立的駭客團夥與某外國政府協作,發起了針對RSA雇員的網路釣魚攻擊,假冒該公司雇員信任的人,滲透進公司網路。

去年7月,易安信報告稱其在修復上至少花費了6600萬美元。RSA高管透露,客戶的網路沒有遭到入侵。但eIQnetworks的副總裁兼首席安全合規官並不買帳,稱:“RSA最開始模糊攻擊方法和被盜資料的做法於事無補。後續對洛克希德馬丁、L3和其他公司的攻擊只不過是時間早晚問題,而這些攻擊據說都或多或少受到RSA資料洩露的影響。除此之外還有心理上的損害。甚至RSA這種久負盛名的安全公司,竟然都會被黑,信心打擊太嚴重。

珍妮佛·巴尤,獨立資訊安全顧問間美國史蒂文斯理工學院教授,在2012年就曾公開表示,“該資料洩露是對安全產品行業的重大打擊,因為RSA簡直就是安全行業的標杆。他們是典型的安全廠商。這樣的廠商竟然也是脆弱點,可謂石破天驚。我不覺得有人會對此無所謂。”

12. VeriSign

影響:未披露資訊被盜

安全專家一致認為,VeriSign資料洩露事件中最麻煩的事,不是駭客得到了特權系統和資訊的訪問權,而是該公司處理事件的方式——很糟糕。VeriSign從未公佈過受到的攻擊。這些安全事件直到2011年才曝光,而且僅是通過一份美國證券交易委員會(SEC)強制的檔歸檔。

VeriSign在SEC季報中掩埋了資訊,弄得好像是普通的趣聞似的。

VeriSign稱沒有關鍵系統被攻破,比如DNS伺服器或證書伺服器,但確實提到:“我們的一小部分電腦和伺服器上的資訊受到了訪問。”該公司至今沒報告是哪些資訊被盜,又會對該公司及其客戶造成什麼影響。

13. 家得寶

影響:5600萬可信用卡/借記卡資訊被盜

該硬體與建築用品零售商在9月宣佈了已懷疑數周的事件——起始於4月或5月,其POS系統遭惡意軟體感染。該公司之後稱,調查結果顯示,有一獨特的定制惡意軟體偽裝成反病毒軟體安裝到其POS系統中。

2016年3月,該公司同意支付至少1950萬美元補償美國客戶,其中有1300萬美元基金用於補償顧客的資費損失,650萬美元投入一年半的持卡人身份防護服務。

和解覆蓋了約4000萬支付卡資料被盜的受害者,以及5200萬郵箱位址被盜的人。這兩種分類有部分重疊。該公司估算,此次資料洩露的稅前開銷約為1.61億美元,包括消費者和解和預期的保險賠償金。

14. Adobe

影響:3800萬使用者記錄

最早在10月初被安全博主布萊恩·克雷布斯報導,花了數周時間查清洩露範圍和內容。該公司最初報告稱,駭客盜取了近300萬加密客戶信用卡記錄,以及數量未知的使用者帳戶登錄資料。

10月末,Adobe稱,攻擊者獲取了3800萬“活躍用戶”的ID和加密口令。但克雷布斯報導稱,就在數天前有份檔被貼到了網上,似乎包含了超過1.5億取自Adobe的用戶名和散列加密口令對。數周的研究過後,最終結論是,除了幾個Adobe產品的原始程式碼,該次攻擊還暴露了客戶姓名、ID、口令和借記卡/信用卡資訊。

2015年8月,Adobe被要求支付110萬美元的訴訟費和未公開數目的使用者賠款,以平息違反《客戶記錄法案》和不正當商業行為的指控。2016年11月,支付給客戶的賠償金據稱有100萬美元。