不安全的Adobe Server为750万创意云用户公开数据

Adobe Creative Cloud或Adobe CC是一项订阅服务，用户可以使用该公司全套流行的桌面和移动创意软件，包括Photoshop、Illustrator、Premiere Pro、InDesign、Lightroom等，约有1500万用户。

What happened? — 本月早些时候，安全研究员鲍勃·迪亚琴科（Bob Diachenko）与网络安全公司Comparitech合作，发现了一个属于Adobe Creative Cloud subscription service的不安全的Elasticsearch数据库，任何人都可以访问该数据库，无需任何密码或身份验证。

How many victims? — 这一无意中泄露的数据库现已得到保护，其中包含近750万Adobe Creative Cloud用户帐户的个人信息。

What type of information was exposed? —公开的信息包括创意云用户：

• 电子邮件地址
• 帐户创建日期
• 他们订阅的Adobe产品
• 订阅状态
• 付款状态
• 成员ID
• 国
• 自上次登录以来的时间
• 用户是Adobe员工吗

What might attackers have achieved? —由于配置错误的云数据库不包含任何密码或信用卡号等财务信息，暴露的数据严重到足以让Adobe CC用户遭受目标明确且令人信服的网络钓鱼攻击。

Comparitech在一篇博客文章中说：“此次泄密中披露的信息可能被用于针对Adobe Creative Cloud用户的有针对性的钓鱼电子邮件和诈骗。”。“欺诈者可以冒充Adobe或相关公司，诱骗用户提供更多信息，例如密码。”

How Adobe addressed the security breach? — Diachenko discovered the exposed database and immediately notified Adobe on October 19.

根据Adobe周五发布的一篇博文，该公司迅速对安全事件做出回应，并在同一天关闭了公众对数据库的访问。

Adobe表示：“上周晚些时候，Adobe发现了一个与我们的一个原型环境相关的漏洞。我们立即关闭了配置错误的环境，解决了该漏洞。”。

“此问题与任何Adobe core产品或服务的运营无关，也未对其产生影响。我们正在审查我们的开发流程，以帮助防止将来出现类似问题。”

然而，在研究人员发现这个数据库之前，这个包含750万Adobe Creative Cloud用户记录的数据库暴露了多久，目前尚不清楚。

What users should do? —目前尚不清楚在研究人员发现该数据库之前，是否有其他人未经授权访问过该数据库，但如果他们发现了该数据库，用户应该主要对钓鱼电子邮件持怀疑态度，这通常是网络犯罪分子的下一步，他们试图诱骗用户提供更多细节，如密码和财务信息。

尽管数据库没有披露任何财务信息，但保持警惕，密切关注银行和支付卡对账单，发现任何异常活动，并向银行报告（如果发现）。

Adobe还提供了双因素身份验证，用户应该启用双因素身份验证，以帮助他们通过额外的安全层来保护自己的帐户。