Servidor inseguro de Adobe expuso los datos de 7.5 millones de usuarios de CC

Adobe, la compañía multinacional de software informático estadounidense, sufrió una grave violación de seguridad a inicios de este mes, que expuso la base de datos de registros de usuarios que pertenece al servicio Creative Cloud de la compañía.

Con alrededor de 15 millones de suscriptores, Adobe Creative Cloud o Adobe CC, es un servicio de suscripción que brinda a los usuarios acceso al conjunto completo de software creativo popular de la compañía para computadoras de escritorio y dispositivos móviles, incluyendo Photoshop, Illustrator, Premiere Pro, InDesign, Lightroom y más.

A inicios del mes, el investigador de seguridad Bob Diachenko, colaboró con la compañía de seguridad cibernética, Comparitech, con el fin de descubrir una base de datos Elasticsearch no segura perteneciente al servicio de suscripción Adobe Creative Cloud que era accesible para cualquier persona sin contraseña o autenticación.

La base de datos expuesta, que ahora ya está protegida, contenía información personal de casi 7.5 millones de cuentas de usuario de Adobe Creative Cloud.

Entre la información expuesta de los usuarios, se encuentra:

• Correos electrónicos
• Fecha de creación de la cuenta
• Productos de Adobe a los que el usuario está suscrito
• Estatus de suscripción
• Estatus de pago
• ID de membresías
• País
• Fecha del último ingreso
• Si el usuario es empleado de Adobe

Debido a que la base de datos en la nube mal configurada no incluía ninguna contraseña o información financiera, como números de tarjetas de crédito, los datos expuestos son lo suficientemente graves como para exponer a los usuarios de Adobe CC a ataques de phishing altamente específicos y convincentes.

«La información expuesta en esta filtración podría utilizarse contra los usuarios de Adobe Creative Cloud en correos electrónicos de phishing y estafas. Los estafadores podrían hacerse pasar por Adobe o una empresa relacionada y engañar a los usuarios para que den más información, como contraseñas, por ejemplo», dijo Comparitech en su blog.

Diachenko descubrió la base de datos expuesta y notificó a Adobe inmediatamente el pasado 19 de octubre de 2019.

Mientras tanto, la compañía respondió al incidente rápidamente y cerró el acceso al público a la base de datos ese mismo día, según una publicación de Adobe el pasado viernes.

«A fines de la semana pasada, Adobe se dio cuenta de una vulnerabilidad relacionada con el trabajo en uno de nuestros entornos prototipo. Inmediatamente cerramos el entorno mal configurado, abordando la vulnerabilidad. Este problema no estaba relacionado con, ni afectó, la operación de ningún producto o servicio central de Adobe. Estamos revisando nuestros procesos de desarrollo para ayudar a prevenir que ocurra un problema similar en el futuro», dijo la compañía.

Sin embargo, aún no se sabe cuánto tiempo estuvo expuesta la base de datos que contenía registros de 7.5 millones de usuarios de Adobe Creative Cloud antes de que el investigador lo descubriera.

Tampoco se sabe si alguien más había accedido a la base de datos sin autorización antes de que el investigador se percatara del hecho, pero en caso de haberlo hecho, los usuarios deben sospechar de los correos electrónicos de phishing, que generalmente son el siguiente paso de los piratas informáticos para intentar engañar a los usuarios.

Aunque la base de datos no expuso ninguna información financiera, siempre es buena idea estar alerta con respecto a los estados de cuenta bancarios y notificar al banco en caso de actividad sospechosa.

Adobe ofrece autenticación de dos factores, que debería ser utilizada por los usuarios para ayudarlos a proteger sus cuentas.