7,5 millió felhasználót érint a frissen felfedezett Adobe adatszivárgás
Ismeretlen ideig szabadon elérhető volt számos, az Adobe Creative Cloud fiókokra vonatkozó adat - jelszavak szerencsére nem kerültek veszélybe.
Komoly adatszivárgás áldozata lett az Adobe, pontosabban a cég Creative Cloud szolgáltatásának közel 7,5 millió felhasználója. A fiaskót a Bob Diachenko biztonsági szakértő fedezte fel néhány héttel ezelőtt, aki a Comparitech biztonsági cég kutatóival együttműködve az Adobe-ot is azonnal értesítette a hibáról.
Mint a kutatók kapcsolódó blogposztjukban írják, az adatszivárgás során email címek, a Creative Cloud fiókokra vonatkozó információk, illetve arra vonatkozó adatok is szabadon elérhetővé váltak, hogy az adott felhasználók milyen Adobe termékeket használnak. A probléma a vállalat által használt egyik Elasticsearch adatbázisban gyökerezett, amely jelszó, vagy bármilyen egyéb azonosító nélkül hozzáférhető volt, vélhetően egy konfigurációs hiba miatt. A sebezhetőségre Diachenko október 19-én bukkant rá, amelyet azonnal jelzett is az Adobe felé - a cég pedig még aznap orvosolta a problémát.
Azt egyelőre nem tudni pontosan, hogy az adatbázis mennyi ideig volt szabadon hozzáférhető, a szakértő becslései szerint ugyanakkor nagyjából egy hétig lehetett elérni bármiféle azonosítás nélkül a Creative Cloud felhasználók adatait. Jelenleg arról sincs információ, hogy ez alatt az időszak alatt történt-e illetéktelen hozzáférés a szóban fogó Elasticsearch adatbázishoz.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
Szerencsére a biztonsági rés nem sodort veszélybe különösen érzékeny adatokat, elérhetővé tett azonban email címeket, az adott fiók létrehozásának időpontját és a használt Adobe termékek listáját, az előfizetés aktuális állapotát, fiókazonosítókat, a felhasználó országát, az utolsó bejelentkezés óta eltelt időt, illetve azt is, hogy Adobe alkalmazottról van-e szó. Fizetési adatok vagy jelszavak nem szivárogtak ki - phishing támadásokhoz ugyanakkor így is jó alapot nyújthatnak a védtelenül maradt adatok.
Jelen állás szerint tehát az ügyben 7,5 millió Creative Cloud felhasználó érintett - bár az nem ismert, hogy a szolgáltatás pontosan hány ügyféllel rendelkezik, a Comparitech szerint számuk nagyjából 15 millióra tehető, aminek fényében még fájdalmasabb a méretes adatszivárgás, hiszen a felhasználók mintegy felét érinti. Az Adobe egy szűkszavú, pár soros közleményben emlékezett meg a fiaskóról, amelyben elmondta, átvizsgálja fejlesztési folyamatait, hogy a jövőben elkerülje a hasonló problémákat.