:

Szerző: Hlács Ferenc

2019. október 28. 11:49

7,5 millió felhasználót érint a frissen felfedezett Adobe adatszivárgás

Ismeretlen ideig szabadon elérhető volt számos, az Adobe Creative Cloud fiókokra vonatkozó adat - jelszavak szerencsére nem kerültek veszélybe.

Komoly adatszivárgás áldozata lett az Adobe, pontosabban a cég Creative Cloud szolgáltatásának közel 7,5 millió felhasználója. A fiaskót a Bob Diachenko biztonsági szakértő fedezte fel néhány héttel ezelőtt, aki a Comparitech biztonsági cég kutatóival együttműködve az Adobe-ot is azonnal értesítette a hibáról.

Mint a kutatók kapcsolódó blogposztjukban írják, az adatszivárgás során email címek, a Creative Cloud fiókokra vonatkozó információk, illetve arra vonatkozó adatok is szabadon elérhetővé váltak, hogy az adott felhasználók milyen Adobe termékeket használnak. A probléma a vállalat által használt egyik Elasticsearch adatbázisban gyökerezett, amely jelszó, vagy bármilyen egyéb azonosító nélkül hozzáférhető volt, vélhetően egy konfigurációs hiba miatt. A sebezhetőségre Diachenko október 19-én bukkant rá, amelyet azonnal jelzett is az Adobe felé - a cég pedig még aznap orvosolta a problémát.

adobeill

Azt egyelőre nem tudni pontosan, hogy az adatbázis mennyi ideig volt szabadon hozzáférhető, a szakértő becslései szerint ugyanakkor nagyjából egy hétig lehetett elérni bármiféle azonosítás nélkül a Creative Cloud felhasználók adatait. Jelenleg arról sincs információ, hogy ez alatt az időszak alatt történt-e illetéktelen hozzáférés a szóban fogó Elasticsearch adatbázishoz.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata!

A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

Szerencsére a biztonsági rés nem sodort veszélybe különösen érzékeny adatokat, elérhetővé tett azonban email címeket, az adott fiók létrehozásának időpontját és a használt Adobe termékek listáját, az előfizetés aktuális állapotát, fiókazonosítókat, a felhasználó országát, az utolsó bejelentkezés óta eltelt időt, illetve azt is, hogy Adobe alkalmazottról van-e szó. Fizetési adatok vagy jelszavak nem szivárogtak ki - phishing támadásokhoz ugyanakkor így is jó alapot nyújthatnak a védtelenül maradt adatok.

Jelen állás szerint tehát az ügyben 7,5 millió Creative Cloud felhasználó érintett - bár az nem ismert, hogy a szolgáltatás pontosan hány ügyféllel rendelkezik, a Comparitech szerint számuk nagyjából 15 millióra tehető, aminek fényében még fájdalmasabb a méretes adatszivárgás, hiszen a felhasználók mintegy felét érinti. Az Adobe egy szűkszavú, pár soros közleményben emlékezett meg a fiaskóról, amelyben elmondta, átvizsgálja fejlesztési folyamatait, hogy a jövőben elkerülje a hasonló problémákat.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról