7 millones de cuentas Adobe Creative Cloud expuestas online

Adobe

Adobe, la gran empresa productora de software destinado a la creatividad y el diseño, ha lanzado recientemente un aviso de seguridad confirmando la embarazosa filtración de nada menos que 7 millones de cuentas de usuario.

Adobe ha publicado una nota titulada Security Update donde relata como un entorno «mal configurado» ha llevado a la filtración de información privada de clientes, dejando a los mismos expuestos a scams e intentos de phishing potenciales.

Filtrados los datos de millones de usuarios de Adobe

En su nota de prensa, Adobe afirma:

En Adobe, creemos que la transparencia con los clientes es importante. Por tanto, hemos querido compartir una actualización de seguridad.

A finales de la semana pasada, Adobe se dio cuenta de que existía una vulnerabilidad relacionada con el trabajo sobre un entorno de desarrollo. Rápidamente desconectamos por completo dicho entorno, solventando la vulnerabilidad.

Estamos revisando nuestros procesos de diseño para ayudar a prevenir situaciones como estas en el futuro.

El anuncio no contiene demasiados detalles sobre lo ocurrido, aunque un informe posteriormente publicado por Comparitech arroja algo más de luz.

El sitio, que trabajó mano a mano con Bob Diachenko, compartió sus hallazgos con Adobe, que corrigió la vulnerabilidad el día 19 de Octubre.

¿Qué datos fueron afectados?

Se trata de una base de datos ElasticSearch que contenía aproximadamente 7,4 millones de cuentas de usuario Creative Cloud y podría haberse accedido sin una contraseña ni cualquier otro medio de autenticación.

Se estima que la base de datos estuvo filtrando información durante una semana, tiempo más que suficiente para que un atacante se diera cuenta del valor del contenido y lo recuperase para venderlo.

Además de filtrar emails de los clientes, la base de datos contenía información como la que sigue:

  • Fecha de creación de cuenta
  • Productos comprados
  • Estado de suscripción
  • Pertenencia del usuario al staff de Adobe
  • ID de miembro
  • País
  • Fecha del último login
  • Estado de los pagos

Este tipo de datos serviría, no ya para hackear al usuario directamente, pero abriría la puerta a intentos de phishing y otros scams más o menos elaborados que podría engañar a decenas de usuarios para que entreguen más información.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.