信息來源：Free Buf

美國計算機軟件公司Adobe在本月初發(fā)現(xiàn)了嚴(yán)重的安全漏洞，該漏洞泄露了Creative Cloud服務(wù)用戶信息記錄的數(shù)據(jù)庫。盡管所包含的詳細(xì)信息不是很敏感，但可以針對數(shù)據(jù)泄露的用戶精心設(shè)計一場網(wǎng)絡(luò)釣魚活動。

Adobe Creative Cloud或Adobe CC是一項訂閱服務(wù)，大約有1500萬的訂閱戶，主要提供的服務(wù)是可以訪問公司開發(fā)的全套流行創(chuàng)意軟件，包括Photoshop，Illustrator，Premiere Pro，InDesign，Lightroom等，這些軟件可在臺式機和移動設(shè)備使用。

本月初，安全研究員Bob Diachenko與網(wǎng)絡(luò)安全公司Comparitech合作，發(fā)現(xiàn)了一個Adobe Creative Cloud訂閱服務(wù)的Elasticsearch數(shù)據(jù)庫，無需任何密碼或身份驗證都可以訪問該數(shù)據(jù)庫，極具威脅性。

此次無意公開的數(shù)據(jù)庫包含近750萬Adobe Creative Cloud用戶的個人帳戶信息，數(shù)據(jù)庫緩存大小接近86GB，目前公司已將這些數(shù)據(jù)保護起來。

公開的信息包括Creative Cloud用戶的：

1、電子郵件地址

2、帳戶創(chuàng)建日期

3、他們訂閱的Adobe產(chǎn)品

4、訂閱狀態(tài)

5、支付狀態(tài)

6、會員編號

7、國家

8、上次登錄時間

9、用戶是否Adobe員工

      攻擊者可利用數(shù)據(jù)做什么

盡管配置錯誤的云數(shù)據(jù)庫不包含任何密碼或財務(wù)信息（例如信用卡號），但泄露數(shù)據(jù)帶來的后果依然十分嚴(yán)重，罪犯可以針對Adobe CC用戶開展具有高度針對性且令人信服的網(wǎng)絡(luò)釣魚攻擊。

Comparitech在博客文章中說：“此次泄漏中暴露的信息可能會使罪犯針對Adobe Creative Cloud用戶進行網(wǎng)絡(luò)釣魚電子郵件和詐騙。欺詐者可能冒充Adobe或相關(guān)公司，并誘使用戶進一步泄露信息，例如密碼?！?

Adobe如何處理

研究人員 Diachenko發(fā)現(xiàn)了被公開的數(shù)據(jù)庫，并于10月19日立即通知Adobe。據(jù) Adobe上周五發(fā)布的博客文章稱，該公司迅速對此次安全事件做出了回應(yīng)，并于當(dāng)天關(guān)閉了對數(shù)據(jù)庫的公共訪問。

“上周晚些時候，Adobe發(fā)現(xiàn)一個源碼環(huán)境中涉及用戶信息的漏洞。我們立即關(guān)閉了配置錯誤的環(huán)境，并修復(fù)該漏洞。這個問題與任何Adobe核心產(chǎn)品或服務(wù)的運行都沒有關(guān)系，也沒有影響產(chǎn)品使用。我們正在審查我們的開發(fā)流程，以防止將來發(fā)生類似的問題?！?

但是，尚不清楚的是在研究人員發(fā)現(xiàn)包含750萬Adobe Creative Cloud用戶記錄的數(shù)據(jù)庫之前，該數(shù)據(jù)庫暴露了多長時間。

用戶應(yīng)該怎么做

研究人員尚不清楚在發(fā)現(xiàn)數(shù)據(jù)庫之前是否曾有人未經(jīng)授權(quán)訪問過數(shù)據(jù)庫，如果他們發(fā)現(xiàn)了該數(shù)據(jù)庫，用戶應(yīng)多注意網(wǎng)絡(luò)釣魚電子郵件。這通常是網(wǎng)絡(luò)犯罪分子的下一步，獲取更多詳細(xì)信息，例如密碼和財務(wù)信息。

盡管數(shù)據(jù)庫未公開任何財務(wù)信息，但用戶應(yīng)始終保持警惕，并密切注意銀行和支付卡帳單上的任何異常活動。如果發(fā)現(xiàn)異常，應(yīng)立即向銀行報告。Adobe還提供了雙因素身份驗證，用戶應(yīng)啟用該身份驗證，通過額外的安全手段來保護自己的帳戶安全。