Datos personales de 7,5 millones de clientes de Creative Cloud fueron expuestos públicamente en una base de datos de Adobe vulnerable a cualquier usuario o atacante, según el descubrimiento de Comparitech.
Con un número de suscriptores estimados en 15 millones, Adobe Creative Cloud o Adobe CC es uno de los servicios de suscripción de software especializado en edición más popular del mercado y brinda acceso al conjunto de software creativo de la compañía para computadoras de escritorio y dispositivos móviles, incluidos Photoshop, Illustrator, Premiere Pro, InDesign, Lightroom y otros.
A principios de este mes, el investigador Bob Diachenko colaboró con la firma de ciberseguridad Comparitech para descubrir una base de datos Elasticsearch no asegurada convenientemente perteneciente al servicio de suscripción de Creative Cloud, accesible desde un navegador web a cualquier persona sin contraseña o autenticación.
La base de datos expuesta contenía información personal de casi 7,5 millones de cuentas de usuario de Adobe e incluía datos como:
- Correos electrónicos.
- Fecha de creación de cuenta.
- Productos de Adobe suscritos.
- Estado de la suscripción.
- Estado de pago.
- ID de miembro.
- País.
- Tiempo desde el último inicio de sesión.
- Visibilidad de los empleados de Adobe.
Comparitech informó internamente a Adobe y ésta aseguró la base de datos el mismo día. «Este problema no estaba relacionado con, ni afectó, las operaciones de ningún producto o servicio principal de Adobe. Estamos revisando nuestros procesos de desarrollo para ayudar a prevenir que ocurra un problema similar en el futuro», explicó Adobe en una publicación en su blog.
Si bien los datos no eran particularmente sensibles, no representaban una amenaza financiera (no incluían datos de contraseñas o tarjetas de crédito) o de seguridad directa, se desconoce si algún ciberdelincuente había accedido a la base de datos sin autorización antes de que el investigador la descubriera.
La información expuesta en esta filtración podría usarse contra los usuarios de Adobe Creative Cloud a través de phishing y otro tipo de estafas, mediante correos electrónicos donde podrían hacerse pasar por Adobe o una compañía relacionada y engañar a los usuarios para que les remitan más información, como contraseñas o datos financieros.
«En este caso, la información expuesta es un regalo para los estafadores, ya que les proporciona información precisa sobre los clientes de Adobe Creative Cloud. Aunque la información de pago no fue expuesta los estafadores ciertamente podrían utilizar esta información para lanzar ataques de phishing dirigidos contra estos clientes enviándoles una advertencia sobre un problema con su suscripción», explican. Se recomienda precaución a los suscriptores de la suite de Adobe.