Über 7 Millionen Creative Cloud-Konten waren frei zugänglich
Wie PetaPixel berichtet, waren ca. eine Woche lang Kontodetails von Creative-Cloud-Abonennten versehentlich öffentlich zugänglich. Betroffene Nutzer könnten nun das Ziel von Phishing-Attacken sein.
Comparitech, eine Pro-Consumer-Webseite, die sich der Recherche und dem Vergleich von Technologiedienstleistungen widmet, berichtete zuerst über die Entdeckung. Die Kontodaten waren in einer Datenbank verfügbar, auf die jeder Internetnutzer über einen Browser ohne Kennwort oder Authentifizierung zugreifen konnte.
Betroffen waren Angaben zu E-Mail-Adressen, Erstellungsdatum des Kontos, verwendete Adobe-Produkte, Abonnementstatus, Adobe-Mitarbeiterstatus, Mitglieds-Identifikationsnummer, Land, Zeitpunkt der letzten Anmeldung und Zahlungsstatus. Zahlungsdetails und Passwörter waren nicht in der Datenbank enthalten.
Die Sicherheitslücke wurde Adobe am 19. Oktober 2019 mitgeteilt und umgehend behoben. Experten schätzen, dass die Daten ungefähr eine Woche lang frei zugänglich waren. Derzeit ist nicht bekannt, ob während dieser Zeit auf die Datenbank zugegriffen wurde.
Adobe bestätigte den Vorfall hier in der Information über ein Sicherheitsupdate im Adobe-Blog (nur auf Englisch verfügbar). Wir übersetzen:
„Bei Adobe legen wir Wert auf Transparenz gegenüber unseren Kunden. Aus diesem Grund wollten wir ein Sicherheitsupdate freigeben.
Ende letzter Woche wurde Adobe auf eine Schwachstelle im Zusammenhang mit der Arbeit an einer unserer Prototypen-Umgebungen aufmerksam Wir haben die falsch konfigurierte Umgebung umgehend heruntergefahren und die Sicherheitslücke behoben.
Die Umgebung enthielt Kundeninformationen von Creative Cloud, einschließlich E-Mail-Adressen, t jedoch keine Passwörter oder Finanzinformationen. Dieses Problem stand in keinem Zusammenhang mit dem Betrieb von Kernprodukten oder -dienstleistungen von Adobe und hatte auch keine Auswirkungen darauf.
Wir überprüfen unsere Entwicklungsprozesse, um zu verhindern, dass in Zukunft ein ähnliches Problem auftritt.“
Die zugänglichen Benutzerdaten, insbesondere die Emailadressen, könnten für sogenannte Phishing-Kampagnen verwendet werden. Betrüger könnten sich in Emails z.B. als Adobe ausgeben und die Empfänger verleiten, weitere Informationen wie beispielsweise Passwörter preiszugeben.
Nutzer von Adobe Creative Cloud sollten E-Mails, deren Absender (angeblich) Adobe ist, daraufhin überprüfen, ob sie tatsächlich von dem Unternehmen stammen, bevor sie darauf antworten, auf enthaltene Links klicken, Anhänge herunterladen und öffnen oder irgendeine andere Aktion durchführen.
Bereits 2013 gab es eine schwerwiegende Sicherheitslücke bei Adobe. Damals wurden Kreditkarten- und Anmeldeinformationen von mindestens 38 Millionen Benutzern veröffentlicht.
Bildnachweis: Pixabay