美国计算机软件公司Adobe在本月初发现了严重的安全漏洞,该漏洞泄露了Creative Cloud服务用户信息记录的数据库。尽管所包含的详细信息不是很敏感,但可以针对数据泄露的用户精心设计一场网络钓鱼活动。
Adobe Creative Cloud或Adobe CC是一项订阅服务,大约有1500万的订阅户,主要提供的服务是可以访问公司开发的全套流行创意软件,包括Photoshop,Illustrator,Premiere Pro,InDesign,Lightroom等,这些软件可在台式机和移动设备使用。
本月初,安全研究员Bob Diachenko与网络安全公司Comparitech合作,发现了一个Adobe Creative Cloud订阅服务的Elasticsearch数据库,无需任何密码或身份验证都可以访问该数据库,极具威胁性。
此次无意公开的数据库包含近750万Adobe Creative Cloud用户的个人帐户信息,数据库缓存大小接近86GB,目前公司已将这些数据保护起来。
公开的信息包括Creative Cloud用户的:
电子邮件地址
帐户创建日期
他们订阅的Adobe产品
订阅状态
支付状态
会员编号
国家
上次登录时间
用户是否Adobe员工
攻击者可利用数据做什么
尽管配置错误的云数据库不包含任何密码或财务信息(例如信用卡号),但泄露数据带来的后果依然十分严重,罪犯可以针对Adobe CC用户开展具有高度针对性且令人信服的网络钓鱼攻击。
Comparitech在博客文章中说:“此次泄漏中暴露的信息可能会使罪犯针对Adobe Creative Cloud用户进行网络钓鱼电子邮件和诈骗。欺诈者可能冒充Adobe或相关公司,并诱使用户进一步泄露信息,例如密码。”
Adobe如何处理
研究人员 Diachenko发现了被公开的数据库,并于10月19日立即通知Adobe。据 Adobe上周五发布的博客文章称,该公司迅速对此次安全事件做出了回应,并于当天关闭了对数据库的公共访问。
“上周晚些时候,Adobe发现一个源码环境中涉及用户信息的漏洞。我们立即关闭了配置错误的环境,并修复该漏洞。这个问题与任何Adobe核心产品或服务的运行都没有关系,也没有影响产品使用。我们正在审查我们的开发流程,以防止将来发生类似的问题。”
但是,尚不清楚的是在研究人员发现包含750万Adobe Creative Cloud用户记录的数据库之前,该数据库暴露了多长时间。
用户应该怎么做
研究人员尚不清楚在发现数据库之前是否曾有人未经授权访问过数据库,如果他们发现了该数据库,用户应多注意网络钓鱼电子邮件。这通常是网络犯罪分子的下一步,获取更多详细信息,例如密码和财务信息。
尽管数据库未公开任何财务信息,但用户应始终保持警惕,并密切注意银行和支付卡帐单上的任何异常活动。如果发现异常,应立即向银行报告。Adobe还提供了双因素身份验证,用户应启用该身份验证,通过额外的安全手段来保护自己的帐户安全。
*参考来源:thehackernews&bleepingcomputer,Sandra1432编译,转载请注明来自FreeBuf.COM