Adobe udostępnia 7 mln kont Creative Cloud online

dodano: 2019-10-30 20:17
autor: HP | źródło: Bitdefender

Adobe - gigant oprogramowania, wydał powiadomienie o bezpieczeństwie, potwierdzające zawstydzające narażenie ponad 7 mln kont użytkowników na ataki phishingowe.

Prosimy o wyłączenie blokowania reklam i odświeżenie strony.

W piątek wpis na blogu Adobe zatytułowany „Aktualizacja zabezpieczeń” ujawnił, że źle skonfigurowane „środowisko” doprowadziło do ujawnienia informacji o klientach.

Pełna informacja brzmi:

- W Adobe uważamy, że przejrzystość w stosunku do naszych klientów jest ważna. Dlatego chcieliśmy udostępnić aktualizację zabezpieczeń.

Pod koniec ubiegłego tygodnia Adobe odkrył lukę w zabezpieczeniach związaną z pracą w jednym z naszych prototypowych środowisk. Natychmiast zamknęliśmy źle skonfigurowane środowisko, usuwając lukę.

Środowisko zawierało informacje o kliencie Creative Cloud, w tym adresy e-mail, ale nie zawierało żadnych haseł ani informacji finansowych. Ten problem nie był związany ani nie wpływał na działanie podstawowych produktów lub usług Adobe.

- Sprawdzamy nasze procesy programistyczne, aby zapobiec występowaniu podobnych problemów w przyszłości.

Ogłoszenie jest krótkie w szczegółach.
Jednak raport firmy Comparitech rzuca więcej światła na ten problem. Witryna dokonała odkrycia we współpracy z badaczem bezpieczeństwa Bobem Diachenko, który natychmiast powiadomił Adobe. Firma załatała usterkę tego samego dnia (19 października).

Ujawniona baza danych Elasticsearch zawierała blisko 7,5 mln kont użytkowników Creative Cloud i można było uzyskać do niej dostęp bez hasła lub innego uwierzytelnienia. Szacuje się, że baza danych ujawniała dane użytkownika przez około tydzień - dużo czasu, aby ktoś mógł je odfiltrować i wykorzystać w oszustwach typu phishing i oszustwach.

Raport wspomina również, że oprócz nieszczelnych wiadomości e-mail w ujawnionej bazie danych były przechowywane takie informacje, jak: data utworzenia konta; jakie produkty Adobe posiada użytkownik; status subskrypcji; czy użytkownik jest faktycznym pracownikiem Adobe; identyfikator użytkownika; kraj; Czas od ostatniego logowania; status płatności. Innymi słowy, mnóstwo informacji do stworzenia bardzo przekonującego oszustwa phishingowego.

Nic nie wskazuje na to, że ujawnione informacje zostały naruszone.

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy.