7,5 millió személy adata került veszélybe az Adobe-nál

​Az Adobe-nál egy súlyos biztonsági incidens következtében több millió személy adata vált kiszolgáltatottá.
 

Bob Diachenko biztonsági kutató az interneten szabadon elérhető adatbázisok után fürkészett, amikor egy különösen nagyméretű állományra bukkant. Erről aztán kiderült, hogy az Adobe Creative Cloud szolgáltatás előfizetőinek bizonyos adatait tartalmazza. A szakember a felfedezéséről október 19-én tájékoztatta az Adobe illetékeseit. A vállalat gyorsan reagált a bejelentésre, és egy napon belül megszüntette a védtelenül hagyott adatbázisához való hozzáférés lehetőségét. 

Az incidens tulajdonképpen egy nem megfelelően konfigurált és védelem nélkül hagyott Elasticsearch adatbázisra vezethető vissza. Diachenko szerint azt bárki elérhette és letölthette. Nem egy kis adatbázisról van szó, mivel a mérete 86 GB, és 7,5 millió előfizető adatait tartalmazza, igaz szerencsére nem a legérzékenyebbeket. Ennek ellenére azért számos olyan adat is megtalálható benne, amelyek adathalász támadásoknak alapozhatnak meg. 

A napvilágra került információk alapján a szóban forgó adatbázisban egyebek mellett a következő adatok kaptak helyet:

• e-mail címek
• fióklétrehozási dátumok
• a felhasználók által használt szoftverek/szolgáltatások
• fizetési és előfizetési állapotok
• országkódok
• az utolsó bejelentkezés óta eltelt idő.

Az Adobe az adatvédelmi incidens vizsgálatát megkezdte, és megállapította, hogy jelszavak, illetve fizetési (például bank- és hitelkártyaszámok) nem voltak az érintett adatbázisban. Ugyanakkor még mindig sok a sötét folt a történet kapcsán. Egyrészt nem lehet pontosan tudni, hogy a kiszolgáltatott adatbázis mióta volt elérhető bárki számára az interneten keresztül (egyes feltevések szerint körülbelül egy hétig lehetett védtelenül). Egy másik kérdés, hogy az incidens a Creative Cloud felhasználók hány százalékát sújtotta. Mindezek mellett arra sincs még pontos válasz, hogy a biztonsági kutató előtt bárki rátalált-e az adatbázisra, és letölte-e azt. A hírek szerint egyelőre nincs arra utaló bizonyíték, hogy illetéktelen hozzáférés történt volna, de a vizsgálatok még folyamatban vannak.

Az Adobe az eset kapcsán eddig nagyon szűkszavúan nyilatkozott. Annyit közölt, hogy az incidens nem okozott fennakadásokat a termékeinek és a szolgáltatásainak működésében. Emellett jelezte, hogy átvizsgálja a fejlesztési folyamatait annak érdekében, hogy a jövőbeli hasonló eseteket meg lehessen előzni.