Adobe Systems Inc.是最后一家在不安全的数据库上公开客户数据的公司,在网上发现了750万个Adobe Creative Cloud帐户。
由 Comparitech Ltd.和安全研究员Bob Diachenko发现并于周五发布,该公开的Elasticsearch数据库对所有人开放,不需要密码或其他安全措施即可访问。
该数据库包括电子邮件地址;帐户创建日期;Adobe产品使用情况和订阅状态;用户是否为Adobe员工;会员编号;国家; 自上次登录以来的时间;和付款状态。该数据不包含任何付款信息或诸如信用卡之类的详细信息。
该数据库是在10月19日发现的,并且Adobe在当天被告知并立即进行了拍摄以保护该数据库。尚不清楚不良行为者是否曾访问过该数据,但据估计,该数据至少已在线暴露了一周。
Adobe确认了数据泄露,并将其描述为“与在我们的原型环境中工作相关的漏洞。”该公司补充说,“他们迅速关闭了配置错误的环境,以解决该漏洞”,并正在审查其开发流程,以防止出现类似情况。问题再次发生。
“750万个的Adobe Creative Cloud帐户中的曝光给了犯罪分子足够的数据更有效提交的钓鱼式攻击和模拟尝试,”亚历山大·加西亚- Tobar,企业邮箱妥协保护公司的联合创始人兼首席执行官Valimail公司,告诉SiliconANGLE 。知道用户的电子邮件地址,产品订阅,付款状态和登录更新意味着可以高度定制他们的社会工程攻击,因此更具说服力。如果成功,这些攻击可能导致帐户接管,身份盗用和其他欺诈。”
Garcia-Tobar指出,网络钓鱼活动通常是在此类违规行为之后进行的,针对受害者的虚假安全警告看起来像是来自受侵害公司的受害者。他说:“实际上,整个网络钓鱼电子邮件中有83%是冒名顶替或公司冒充。” “首席信息安全官和首席信息官面临着无情的假冒攻击浪潮的艰巨任务。”
