El investigador de seguridad Bob Diachenko y Comparitech descubrieron una base de datos con información de casi 7.5 millones de cuentas de Adobe Creative Cloud que habrían sido expuestas en línea, accesibles desde el navegador web.
Adobe Creative Cloud es el servicio de suscripción de software de Adobe, mediante el cual el usuario obtiene acceso a un conjunto de aplicaciones como Photoshop, Lightroom, Illustrator, InDesign, Premiere Pro, Audition, After Effects y muchos más.
Los datos expuestos incluían la dirección de correo electrónico del usuario, producto Adobe suscrito, fecha de creación de la cuenta, estado de suscripción y pago, zona horaria local, ID de miembro, hora del último inicio de sesión y si eran empleados de Adobe. No se expusieron contraseñas o información financiera, como números de tarjetas de crédito.
El acceso a la base de datos se pudo hacer desde el navegador web, sin una contraseña o cualquier otra autenticación.
El hallazgo de la base de datos de Adobe CC fue el 19 de octubre y en ese mismo día se le comunicó a Adobe.
Adobe ha confirmado que la vulnerabilidad estuvo en una mala configuración de uno de sus entornos prototipo, el cual ya fue cerrado. Dicho entorno contenía información de clientes de Creative Cloud, incluidas direcciones de correo electrónico, pero no incluía contraseñas ni información financiera.
Adobe dijo que este problema no estaba relacionado con, ni afectó, la operación de ningún producto o servicio principal de Adobe. Enfatizó que Adobe revisa sus procesos de desarrollo para evitar problemas similares en el futuro.
Los datos expuestos podrían ser utilizados en ataques phishing; es decir, los usuarios de Adobe Creative Cloud podrían recibir correo electrónico falso argumentando provenir de Adobe para actividades fraudulentas o de robo de información, como contraseñas y financiera.