Adobe gigant oprogramowania , wydał powiadomienie o bezpieczeństwie, potwierdzające zawstydzające narażenie ponad 7 milionów kont użytkowników na ataki phishingowe.
W piątek wpis na blogu Adobe zatytułowany „ Aktualizacja zabezpieczeń ” ujawnił, że źle skonfigurowane „środowisko” doprowadziło do ujawnienia informacji o klientach. Pełna informacja brzmi:
- W Adobe uważamy, że przejrzystość w stosunku do naszych klientów jest ważna. Dlatego chcieliśmy udostępnić aktualizację zabezpieczeń.
Pod koniec ubiegłego tygodnia Adobe odkrył lukę w zabezpieczeniach związaną z pracą w jednym z naszych prototypowych środowisk. Natychmiast zamknęliśmy źle skonfigurowane środowisko, usuwając lukę.
Środowisko zawierało informacje o kliencie Creative Cloud, w tym adresy e-mail, ale nie zawierało żadnych haseł ani informacji finansowych. Ten problem nie był związany ani nie wpływał na działanie podstawowych produktów lub usług Adobe.
- Sprawdzamy nasze procesy programistyczne, aby zapobiec występowaniu podobnych problemów w przyszłości.
Ogłoszenie jest krótkie w szczegółach. Jednak raport firmy Comparitech rzuca więcej światła na ten problem. Witryna dokonała odkrycia we współpracy z badaczem bezpieczeństwa Bobem Diachenko, który natychmiast powiadomił Adobe. Firma załatała usterkę tego samego dnia (19 października).
Ujawniona baza danych Elasticsearch zawierała blisko 7,5 miliona kont użytkowników Creative Cloud i można było uzyskać do niej dostęp bez hasła lub innego uwierzytelnienia. Szacuje się, że baza danych ujawnia dane użytkownika przez około tydzień – dużo czasu, aby ktoś mógł je odfiltrować i wykorzystać w oszustwach typu phishing i oszustwach.
Raport wspomina również, że oprócz nieszczelnych wiadomości e-mail w ujawnionej bazie danych były przechowywane takie informacje, jak: data utworzenia konta; jakie produkty Adobe posiada użytkownik; status subskrypcji; czy użytkownik jest faktycznym pracownikiem Adobe; identyfikator użytkownika; kraj; Czas od ostatniego logowania; status płatności. Innymi słowy, mnóstwo informacji do stworzenia bardzo przekonującego oszustwa phishingowego. Nic nie wskazuje na to, że ujawnione informacje zostały naruszone.
Źródło: Bitdefender.pl