Adobe hat versehentlich rund 7,5 Millionen Kundendaten von Creative-Cloud-Abos geleakt. Schuld war dabei eine ungesicherte Datenbank. Adobe hat den Vorfall bereits bestätigt und verspricht Maßnahmen, damit sich ein derartiger Vorfall nicht wiederholt.
Die Datenbank enthielt Informationen zu E-Mail-Adressen, Adobe-Member-IDs und Details zu Herkunftsland und verwendeten Adobe-Produkten. Passwörter oder gar Kontodaten waren nicht einsehbar.
Das Sicherheitsleck wurde von Bob Diachenko, Sicherheitsforscher bei Security Discovery, sowie dem CompariTech-Journalisten Paul Bischoff am 19. Oktober 2019 entdeckt. Beide informierten das Sicherheitsteam von Adobe, das noch am selben Tag die betroffenen Server sicherten. Die beiden lobten Adobe für die schnelle Reaktion. Wie lange die Datenbank nun frei zugänglich gewesen sei, ist jedoch nicht bekannt. Diachenko geht davon aus, dass die Datenbank rund eine Woche zugänglich gewesen sei. Ob die Datenbank schon vorher von anderen als den zwei Sicherheitsforschern entdeckt wurde, kann nicht ausgeschlossen werden.
Adobe hat im eigenen Security-Blog bereits auf den Vorfall reagiert und Maßnahmen ergriffen:
"Ende letzter Woche wurde Adobe auf eine Schwachstelle im Zusammenhang mit der Arbeit an einer unserer Prototyp-Umgebungen aufmerksam. Diese Schwachstelle wurde umgehend behoben.
Die Umgebung enthielt Kundeninformationen der Creative Cloud, einschließlich E-Mail-Adressen, jedoch keine Passwörter oder Finanzinformationen. […]
Wir überprüfen unsere Entwicklungsprozesse, um zu verhindern, dass in Zukunft ein ähnliches Problem auftritt."
Vorfall erinnert an Adobe-Leak aus dem Jahre 2013
Es ist nicht das erste Mal, dass Kundendaten von Adobe geleakt wurden. Im Jahr 2013 erbeuteten Hacker Nutzerdaten von rund 38 Millionen Adobe-Kunden - damals inklusive Zugangs- und verschlüsselten Bezahldaten.