I ricercatori di Comparitech hanno portato alla luce un leak che ha interessato 7,5 milioni di utenti del pacchetto Adobe Creative Cloud. Scoperto nella giornata del 19 ottobre, è stato reso noto solo nel weekend dopo che la software house ha potuti porvi rimedio, intervenendo successivamente con un comunicato ufficiale in merito all’accaduto che riportiamo in questo articolo in forma tradotta.
In Adobe crediamo che la trasparenza nei confronti dei nostri clienti sia importante. Per questo motivo abbiamo voluto condividere un aggiornamenti relativo alla sicurezza.
Adobe Creative Cloud: leak per 7,5 milioni di utenti
Tutto sembra essere dovuto a una errata configurazione di un server Elasticsearch, privo di misure per la sicurezza come password o altri sistemi di autenticazione. Tra i dati esposti ci sono indirizzi email, date di creazione degli account, prodotti per i quali è stata effettuata una sottoscrizione, stato dell’abbonamento e dei pagamenti, ID degli utenti, paese di origine, data dell’ultimo login e un’informazione relativa all’eventuale status di dipendente Adobe.
Al termine della scorsa settimana Adobe è venuta al corrente di una vulnerabilità legata al lavoro su uno dei nostri ambienti in fase di prototipo. Abbiamo prontamente fermato l’ambiente oggetto del problema, risolvendo la vulnerabilità.
Fortunatamente non sono state trafugate le password né i dettagli relativi a metodi di pagamento come le carte di credito.
L’ambiente conteneva informazioni relative ai clienti di Creative Cloud inclusi gli indirizzi email, ma nessuna password o dato finanziario. Il problema non è stato legato e non ha interessato l’operatività di alcun prodotto o servizio core di Adobe.
Considerando i circa 15 milioni di abbonati a livello globale, il leak ne avrebbe interessati la metà.
Stiamo revisionando i nostri processi di sviluppo per far sì che simili problemi non si verifichino più in futuro.
Gli utenti i cui dati sono stati esposti, se le informazioni dovessero finire nelle mani di malintenzionati, potrebbe essere colpiti da campagne di phishing attraverso le quali carpire informazioni mediante messaggi creati ad hoc e inviati agli indirizzi email associati agli account Creative Cloud.