Adobe CC-Datenbank war über eine Woche nicht geschützt

Und auch einem so großen US-Software-Unternehmen wie Adobe Inc. passiert es, dass Zugang zu den sensiblen Kundendaten für über eine Woche lang öffentlich zugänglich sind. Diese Erkenntnis musste der Sicherheitsforscher Bob Diachenko machen, der dann Adobe umgehend informierte, sodass diese die Sicherheitslücke umgehend schließen konnten.

Wer kennt nicht die allseits beliebten Grafik-Programme Photoshop und Lightroom. Seid auch ihr Abonnement der Adobe Creative Cloud? Dann solltet ihr spätestens jetzt euer Passwort ändern. Denn knapp 7,5 Millionen Kunden-Datensätze waren für mindestens eine Woche  öffentlich mit einem Webbrowser zugänglich. Einschließlich E-Mail-Adressen, Kontoinformationen und den von euch verwendeten Adobe-Produkten. Entdeckt wurde die Sicherheitslücke durch Comparitech in Kooperation mit dem Sicherheitsforscher Bob Diachenko am 19. Oktober 2019.

Noch fehlt eine Stellungnahme von Adobe Inc.

Adobe hat sich bis dato noch nicht öffentlich zu dem Vorfall geäußert. Insofern ist unklar, ob auch aktiv von Hackern die Daten abgegriffen wurden. Wie Diachenko herausfand war der Zugriff ohne Kennwort oder andere Authentifizierung mindestens eine Woche lang möglich. Der Sicherheitsforscher informierte das US-Software-Unternehmen umgehend, wohingegen diese noch am selben Tag die Lücke schließen konnten. Betroffen waren:

• E-Mail Adressen
• Kontoerstellungsdatum
• Verwendete Produkte
• Abonnement-Status
• Handelt es sich um einen Mitarbeiter?
• Mitglieds-ID
• Land
• Zeit seit dem letzten Login
• Zahlungsstatus

Die Passwörter waren zum Glück nicht betroffen. Doch die bereits erlangten Informationen können nun für Phishing-Angriffe genutzt werden. Prüft also sogenannte „Adobe-Mails“ noch intensiver als ihr es eh schon tut. Kein Unternehmen fragt direkt nach Passwörtern. Zur zusätzlichen Sicherheit lässt sich auch für die Creative Cloud die 2-Faktor-Authentifizierung aktivieren. Wir warten nun noch auf ein offizielles Statement Seitens des Software-Herstellers zu der Dauer der Sicherheitslücke und ob aktiv Daten abgegriffen wurden.

[Quelle: Comparitech | via Caschys Blog]