freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Adobe漏洞泄露了750万Creative Cloud用户数据
2019-10-28 11:07:52

美国计算机软件公司Adobe在本月初发现了严重的安全漏洞,该漏洞泄露了Creative Cloud服务用户信息记录的数据库。尽管所包含的详细信息不是很敏感,但可以针对数据泄露的用户精心设计一场网络钓鱼活动。

AdobeCreativeCloud.png

Adobe Creative Cloud或Adobe CC是一项订阅服务,大约有1500万的订阅户,主要提供的服务是可以访问公司开发的全套流行创意软件,包括Photoshop,Illustrator,Premiere Pro,InDesign,Lightroom等,这些软件可在台式机和移动设备使用。

本月初,安全研究员Bob Diachenko与网络安全公司Comparitech合作,发现了一个Adobe Creative Cloud订阅服务的Elasticsearch数据库,无需任何密码或身份验证都可以访问该数据库,极具威胁性。

此次无意公开的数据库包含近750万Adobe Creative Cloud用户的个人帐户信息,数据库缓存大小接近86GB,目前公司已将这些数据保护起来。

AdobeCreativeCloud-ExposedDB-Comparitech.jpg

公开的信息包括Creative Cloud用户的:

电子邮件地址

帐户创建日期

他们订阅的Adobe产品

订阅状态

支付状态

会员编号

国家

上次登录时间

用户是否Adobe员工

AdobeCreativeCloud-ExposedDB-Diachenko.jpg

攻击者可利用数据做什么

尽管配置错误的云数据库不包含任何密码或财务信息(例如信用卡号),但泄露数据带来的后果依然十分严重,罪犯可以针对Adobe CC用户开展具有高度针对性且令人信服的网络钓鱼攻击。

Comparitech在博客文章中说:“此次泄漏中暴露的信息可能会使罪犯针对Adobe Creative Cloud用户进行网络钓鱼电子邮件和诈骗。欺诈者可能冒充Adobe或相关公司,并诱使用户进一步泄露信息,例如密码。”

Adobe如何处理

研究人员 Diachenko发现了被公开的数据库,并于10月19日立即通知Adobe。据 Adobe上周五发布的博客文章称,该公司迅速对此次安全事件做出了回应,并于当天关闭了对数据库的公共访问。

“上周晚些时候,Adobe发现一个源码环境中涉及用户信息的漏洞。我们立即关闭了配置错误的环境,并修复该漏洞。这个问题与任何Adobe核心产品或服务的运行都没有关系,也没有影响产品使用。我们正在审查我们的开发流程,以防止将来发生类似的问题。”

但是,尚不清楚的是在研究人员发现包含750万Adobe Creative Cloud用户记录的数据库之前,该数据库暴露了多长时间。

用户应该怎么做

研究人员尚不清楚在发现数据库之前是否曾有人未经授权访问过数据库,如果他们发现了该数据库,用户应多注意网络钓鱼电子邮件。这通常是网络犯罪分子的下一步,获取更多详细信息,例如密码和财务信息。

尽管数据库未公开任何财务信息,但用户应始终保持警惕,并密切注意银行和支付卡帐单上的任何异常活动。如果发现异常,应立即向银行报告。Adobe还提供了双因素身份验证,用户应启用该身份验证,通过额外的安全手段来保护自己的帐户安全。

*参考来源:thehackernews&bleepingcomputer,Sandra1432编译,转载请注明来自FreeBuf.COM




# adobe # Creative Cloud # 750万
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者