Adobe は、Creative Cloud の顧客 750 万人の情報を含む、セキュリティが不十分な一般向けの Elasticsearch データベースをオフラインにしました。
このクラウドベースのサイロは情報セキュリティ調査員のボブ・ディアチェンコ氏によって発見され、先週アドビに報告された。
公開された記録には、電子メール アドレス、アカウント作成日、購入した製品の詳細、Creative Cloud サブスクリプションのステータス、メンバー ID、出身国、サブスクリプションの支払いステータス、ユーザーが Adobe の従業員であるかどうか、その他のメタデータが含まれています。
ご存知ない方のために説明すると、Creative Cloudは、Photoshop、Illustrator、PremiereなどのAdobeソフトウェアスイートのオンライン版です。ユーザーはCDを購入するのではなく、月額料金を支払って様々なアプリにアクセスします。
データベースには加入者に関するごく標準的な情報しか含まれておらず、支払いカードの詳細やパスワードは含まれていなかったため、漏洩した 750 万人のうちの 1 人であったとしても、詐欺や Creative Cloud 加入者アカウントの盗難の危険はおそらくないと思われます。
しかし、ディアチェンコ氏と協力してAdobeにデータベースの不具合を報告したComparitech編集者のポール・ビショフ氏が本日指摘したように、こうした些細な情報はソーシャルエンジニアリングに非常に役立つ可能性がある。アカウントを直接盗まれることはないかもしれないが、フィッシングメールを介した侵入の第一歩となる可能性があるのだ。
「今回の漏洩で明らかになった情報は、Adobe Creative Cloudユーザーを狙ったフィッシングメールや詐欺に利用される可能性がある」とビショフ氏は説明した。
「詐欺師はAdobe社や関連会社を装い、ユーザーを騙してパスワードなどの追加情報を盗み出す可能性があります。」
混乱した西部:脆弱性ハンターによると、ホテル大手の Autoclerk コードにより、米兵の情報、旅行計画、パスワードなどが漏洩したとのこと…
続きを読む
データベースはその後オフラインになったため、さらなる漏洩のリスクはありません。ディアチェンコ氏は、データベースがオンラインになっていたのは約1週間前と推定しており、他の誰かが閲覧できたかどうかは不明です。
Adobe社は今回の脆弱性について、「今後同様の問題が起きないよう、開発プロセスを見直している」と述べた。
メディアソフトウェア大手には、クラウドデータベースを無防備なまま放置している企業が数多くある。
Shodan や、大量の IP アドレスを自動的にクロールできるその他のツールの登場により、AWS やその他のクラウド プラットフォーム上にパブリック アクセスを許可するように設定されたデータベースが数百万個あることが明らかになりました。
これらのデータベースやクラウドインスタンスのほとんどには機密データは含まれていませんが、作成者が公開するつもりのなかったファイルや情報が多く含まれていました。Veeam、メキシコ政府、そして共和党全国委員会では、マシンの設定ミスが原因で大規模な情報漏洩が発生しました。
管理者と開発者は、マシンがアクセスを必要とするユーザーのみにアクセスを許可するように構成されていることを常に確認することをお勧めします。®
