Adobe: 7,5 milioni di utenti a rischio phishing per un database non protetto pubblicato online
Ben 7,5 milioni di abbonati ad Adobe Creative Cloud sono vittime di un attacco che ha esposto online per circa una settimana un database che includeva, tra gli altri, indirizzi e-mail, numero ID, indirizzo, data di creazione dell’account, elenco dei prodotti Adobe utilizzati, ultimo accesso, stato dei pagamenti.
Adobe ha allertato gli utenti che potrebbero essere soggetti a mail di phishing mirato. Adobe Creative Cloud è una suite di applicazioni che richiede un abbonamento a pagamento. Include software molto diffusi come Photoshop, Lightroom, Premiere Rush, Premier Pro e Illustrator, e altri software.
La scoperta è da addebitare all’azienda inglese Comparitech e al ricercatore per la sicurezza Bob Diachenko, secondo cui i dati erano archiviati in chiaro, senza alcuna richiesta di password o di altri tipi di autenticazione. Il 19 ottobre Adobe ha ricevuto la segnalazione ed è stata esortata a proteggere il database, cosa che è stata fatta il giorno stesso. Da notare che non ci sono prove circa il fatto che qualcuno abbia messo mano ai dati nel periodo in cui sono stati esposti online.
La buona notizia è che non sono state esposte informazioni chiave come le coordinate di pagamento e le password. I dati esposti, come sottolinea Comparitech, non sono “particolarmente sensibili”, ma sono più che sufficienti per alimentare campagne di phishing mirato contro gli abbonati. “I truffatori potrebbero fingersi dipendenti di Adobe o di una società collegata e indurre gli utenti a consegnare ulteriori informazioni, come le password”, spiega Comparitech.
Adobe ha riconosciuto l’accaduto e in un messaggio pubblicato sul blog ufficiale si è assunta tutte le responsabilità: “in Adobe crediamo che la trasparenza verso i nostri clienti sia importante. Pertanto, vogliamo condividere un aggiornamento di sicurezza […] Adobe è venuta a conoscenza di una vulnerabilità legata al lavoro su uno dei nostri ambienti prototipo. Abbiamo prontamente chiuso l’ambiente configurato male, risolvendo la vulnerabilità. L’ambiente conteneva informazioni sui clienti di Creative Cloud, inclusi gli indirizzi e-mail, ma non includeva password o informazioni finanziarie. Questo problema non ha influito sul funzionamento di alcun prodotto o servizio principale di Adobe. Stiamo rivedendo i nostri processi di sviluppo per evitare che in futuro si verifichi un problema simile”.
Non è la prima volta che Adobe deve fronteggiare un problema di gestione dei dati degli utenti. Nel 2013 dei criminali informatici rubarono informazioni appartenenti a circa 38 milioni di utenti e misero mano anche ai dati crittografati che includevano dettagli sulle carte di credito.
Fonte: Il Fatto Quotidiano
