Adobe Creative Cloud: Wyciek danych około 7,5 mln użytkowników. Zostawiono bazę bez hasła
Adobe zaliczyło poważną wpadkę w zakresie cyberbezpieczeństwa. Firma pozostawiła jedną z baz danych bez jakichkolwiek zabezpieczeń. Efekt? Wyciek danych około 7,5 mln klientów.
Sprawa dotyczy subskrybentów usługi Creative Cloud, a więc – jakby nie patrzeć – flagowego produktu Adobe. Na jej trop natrafił Bob Diachenko, badacz bezpieczeństwa współpracujący z firmą Comparitech. Ekspert znalazł bazę Elasticsearch, do której dostęp nie był zabezpieczony w jakikolwiek sposób. Każdy mógł wejść jak do siebie.
Jak twierdzi, 19 października powiadomił Adobe o błędzie. Firma natychmiast go naprawiła, co jednak nie zmienia faktu, że rekordy zdążyły rozejść się po sieci.
Szczęście w nieszczęściu jest takie, że wśród utraconych przez Adobe informacji nie ma numerów kart kredytowych ani kont bankowych. Są za to: adres e-mail, data założenia konta, lista subskrybowanych produktów, status płatności, identyfikator użytkownika, kraj pochodzenia i czas od ostatniego logowania. Ponadto można jeszcze ustalić tylko to, czy dana osoba jest pracownikiem Adobe, czy nie.
Comparitech słusznie zauważa, że – choć większość danych wygląda na niewrażliwe – mogą one w najbliższej przyszłości posłużyć do ataków phishingowych.
A co na to Adobe? "Pod koniec ubiegłego tygodnia Adobe odkryło lukę związaną z pracą w jednym z naszych prototypowych środowisk. Natychmiast zamknęliśmy źle skonfigurowane środowisko, usuwając lukę" – czytamy w oświadczeniu. Producent zaznacza przy tym, że nie utracił żadnych danych z chmury, a funkcjonalność oprogramowania nie została zaburzona.
