Internet上的Elasticsearch数据库中暴露了近750万Adobe Creative Cloud用户的基本客户详细信息,该数据库无需密码即可在线连接。
公开的详细信息主要包括有关用户帐户的信息,但不包括密码或财务信息。
暴露的用户详细信息包括电子邮件地址,Adobe会员ID(用户名),原产国以及他们使用的Adobe产品。其他信息还包括帐户创建日期,登录的最后日期,该帐户是否属于Adobe员工以及订阅和付款状态。
上周,即10月19日,星期六,来自Security Discovery的安全研究员Bob Diachenko和CompariTech的技术记者Paul Bischoff找到了这些数据。
两人通知了Adobe的安全团队,后者在同一天保护了服务器。
Diachenko和Bischoff称赞Adobe的快速响应,并承认数据泄漏不像过去在其他公司发现的其他泄漏那样严重,因为它不包含密码,付款数据,甚至像客户名字这样基本的东西。 SSL证书保障网站信息传输安全。
鱼叉式钓鱼警告
但是,尚不清楚其他人是否也访问了该数据库并下载了其内容。里面的数据可以用来向那些暴露了电子邮件地址的用户发送垃圾邮件。
具体来说,黑客可以利用钓鱼电子邮件将活动Adobe高级帐户的所有者作为目标,以劫持所有者的高价值Creative Cloud帐户,然后可以在专门的暗网市场上通过在线方式再销售这些帐户。
就其本身而言,Adobe在10月25日(星期五)在一篇博客文章中承认泄漏的服务器。
这家基于云的软件公司将事件归咎于其“原型环境”之一的错误配置,导致服务器暴露在互联网上。
这种泄漏的严重程度远不及2013年臭名昭著的Adobe漏洞,在该漏洞中,黑客获得了近3800万Adobe用户的完整记录,包括加密的付款明细。当时,Adobe漏洞是有史以来最大的黑客事件之一。
(转载于dbsec.cn)