A principios de octubre, un investigador de seguridad descubrió la existencia de un servidor Elasticsearch configurado de forma insegura perteneciente al servicio de Adobe Creative Cloud, el cual exponía datos de 7.5 millones de usuarios del servicio que estaban accesibles para que cualquiera que supiera cómo encontrarlos y sin necesidad de autenticación.





Con un número de suscriptores estimados en 15 millones, Adobe Creative Cloud o Adobe CC es uno de los servicios de suscripción de software especializado en edición más popular del mercado y brinda acceso al conjunto de software creativo de la compañía para computadoras de escritorio y dispositivos móviles, incluidos Photoshop, Illustrator, Premiere Pro, InDesign, Lightroom y otros.



Tal como explicó Adobe en un comunicado que lanzó el pasado 25 de octubre, si bien el error de configuración ya fue corregido y los datos fueron asegurados, la información expuesta no incluía contraseñas o información financiera de los clientes. En este sentido, entre los datos que sí se habían expuesto aparecían direcciones de correo, fecha de creación de la cuenta, información sobre los productos de Adobe a los cuales está suscrito el usuario, país, ID de los miembros, estado del pago, estado de la suscripción, y tiempo transcurrido desde el último inicio de sesión.

Late last week, Adobe became aware of a vulnerability related to work on one of our prototype environments. We promptly shut down the misconfigured environment, addressing the vulnerability.

The environment contained Creative Cloud customer information, including e-mail addresses, but did not include any passwords or financial information. This issue was not connected to, nor did it affect, the operation of any Adobe core products or services.

Pese a que se desconoce desde cuándo estuvieron los datos expuestos, el investigador Bob Diachenko, responsable del hallazgo junto a Comparitech, estima que estuvieron desprotegidos durante aproximadamente una semana. Asimismo, se desconoce si alguien en ese tiempo accedió a la base de datos.

La base de datos expuesta contenía información personal de casi 7,5 millones de cuentas de usuario de Adobe e incluía datos como:

• Correos electrónicos.
• Fecha de creación de cuenta.
• Productos de Adobe suscritos.
• Estado de la suscripción.
• Estado de pago.
• ID de miembro.
• País.
• Tiempo desde el último inicio de sesión.
• Visibilidad de los empleados de Adobe.

La información expuesta, si bien no incluye datos sensibles, puede ser utilizada por actores malintencionados para enviar correos de phishing personalizados que incluyan datos que los hagan creíbles y de esta manera lograr engañar a usuarios desprevenidos para que accedan a enlaces maliciosos o que logren robar información sensible, como contraseña o información financiera.

Además de estar atentos a cualquier correo que pueda llegar a la bandeja de entrada y que intente aprovechar esta información, se recomienda a los usuarios activar el doble factor de autenticación en los servicios que utilicen y que tengan habilitada esta función.

Fuentes:
https://www.welivesecurity.com/la-es/2019/10/28/datos-millones-usuarios-adobe-creative-cloud-expuestos/
https://www.muyseguridad.net/2019/10/28/una-base-de-datos-de-adobe-vulnerable-compromete-a-millones-de-usuarios-de-creative-cloud/