De gegevens van 7,5 miljoen Creative Cloud-klanten van Adobe zijn aangetroffen in een onbeveiligde Elasticsearch-database, die over het internet beschikbaar was. Het is al het zoveelste voorbeeld op rij van een misconfiguratie in de cloud, die rechtstreeks tot een data-inbreuk leidt.
De ontdekking werd gedaan door security-onderzoeker Bob Diachenko en Comparitech. Ze ontdekten dat de deuren van de Elasticsearch-database in kwestie wagenwijd open stonden, zonder wachtwoordbeveiliging of andere vorm van bescherming.
De database werd op 19 oktober ontdekt en bevatte onder meer e-mailadressen, account- en abonnementgegevens, productinformatie en betaalstatus. Tussen de data zaten evenwel geen betaalgegevens of wachtwoorden.
Hoewel geen betaalgegevens of wachtwoorden werden gelekt, kan de data wel worden gebruikt voor effectievere phishing en social engineering. Met een e-mailadres, productinformatie en betaalstatus, kan een aanvaller een e-mail op maat maken uit naam van Adobe. Zo kan het wachtwoord van de gebruiker alsnog worden achterhaald om het account te stelen of identiteitsfraude te plegen.
Prototype-omgeving
Adobe werd dezelfde dag op de hoogte gesteld en greep meteen in om de database te beveiligen. De data waren naar schatting al minstens een week publiek, maar het is op dit moment onbekend of derden toegang hebben gehad tot de informatie.
Volgens Adobe werd de database gebruikt voor één van zijn prototype-omgevingen, die verkeerd werd geconfigureerd. “Dit probleem hield geen verband met de werking van enige kernproducten of -services van Adobe”, benadrukt de softwarespecialist. “We evalueren onze ontwikkelingsprocessen om een soortgelijk probleem in de toekomst te voorkomen.”