Su Elasticsearch l’azienda aveva caricato i dettagli di circa 7,5 milioni di utenti di Creative Cloud: la falla è stata chiusa
Scoperto dalla società di sicurezza Comparitech il 19 ottobre, Adobe ha velocemente risolto il problema che aveva messo a rischio 7,5 milioni di utenti di Creative Cloud, le cui credenziali erano state caricate su un server Elasticsearch non protetto. Il giorno stesso in cui è stato reso noto, la compagnia ha chiuso la falla.
Anche se forse la vera domanda è: perché un server con dati personali è stato lasciato accessibile tramite un browser web senza password? “Alla fine della scorsa settimana, Adobe è venuta a conoscenza di una vulnerabilità legata al lavoro su uno dei nostri ambienti prototipo – ha scritto la società in un post sul blog – abbiamo dunque chiuso l’ambiente configurato male, affrontando la vulnerabilità”.
Cosa succede adesso
Mentre Adobe ci tiene a precisare che la violazione non ha incluso alcuna password o informazioni finanziarie, l’elenco dei dati trapelati è comunque importante: Indirizzi email, date di creazione degli account, prodotti sottoscritti, stati di abbonamento, di pagamento, ID, nazione, periodo di ultimo accesso e molto altro. Non serve poi tanto a capire che si tratta comunque di elementi teoricamente compromettenti, se usati come solo un cracker saprebbe fare.
Se un indirizzo e-mail ha fatto parte di un’altra perdita e il medesimo utente tende a riutilizzare le password diffuse, qualcuno potrebbe facilmente accedere e acquisire il controllo dell’account. Tutto ciò, vale la pena ricordarlo, è solo ipotetico, perché Comparitech non sa se qualcun altro ha avuto accesso al server mentre era aperto. L’azienda non è nemmeno sicura per quanto tempo la falla è stata aperta, anche se si parla di settimane. “Stiamo rivedendo i nostri processi di sviluppo per aiutare a prevenire un simile problema in futuro” – ha concluso Adobe.