Un servidor inseguro de Adobe ha puesto en peligro la seguridad de los 7,5 millones de clientes

186
Foto de Creative Cloud de Adobe
Foto de Creative Cloud de Adobe

Adobe, la compañía multinacional de software informático con sede en San José ha sufrido una terrible violación de seguridad a comienzos del presente mes de octubre en Estados Unidos. Una base de datos de norteamericanos usuarios del servicio Creative Cloud de la compañía contenía información personal de casi 7.5 millones de personas.

La vulnerabilidad se descubrió cuando el investigador Bob Diachenko, uno de los mayores expertos en ciberseguridad del mundo realizó un estudio en colaboración con la compañía de seguridad cibernética Comparitech. Pretendían localizar una base de datos Elasticsearch insegura que formaba parte del servicio de suscripción Adobe Creative Cloud, accesible para cualquier persona del mundo sin necesidad de contraseña o autentificación alguna, informa Masterhacks noticias.

Diachenko, que se ha hecho eco de lo ocurrido en sus redes sociales, puso en conocimiento de la compañia lo que estaba ocurriendo el pasado 19 de octubre. La base de datos vulnerable mostraba la siguiente información de 7,5 millones de usuarios del Adobe Creative Cloud:

  • Correos electrónicos
  • Productos de Adobe a los que el usuario está suscrito
  • Estatus de suscripción
  • Estatus de pago
  • ID de membresías
  • País de origen
  • Fecha del último ingreso
  • Si el usuario es empleado de Adobe

Adobe ya ha solventado el problema en la nube mal configurada. La vulnerabilidad era muy grave, ya que exponía a los usuarios a campañas de pishing por parte de piratas informáticos. Los hackers podrían hacerse pasar por empleados de Adobe para estafar a los usuarios.

La multinacional reacciónó el mismo día y resolvió los problemas, según informa en un comunicado emitido el pasado viernes 25:

En Adobe, creemos que la transparencia con nuestros clientes es importante. Como tal, queríamos compartir una actualización de seguridad.

A fines de la semana pasada, Adobe se dio cuenta de una vulnerabilidad relacionada con el trabajo en un prototipo de nuestros entornos. Inmediatamente lo cerramos por estar mal configurado, abordando la vulnerabilidad.

El entorno contenía información de clientes de Creative Cloud, incluidas direcciones de correo electrónico, pero no incluía contraseñas ni información financiera. Este problema no estaba relacionado con la operación de ningún producto o servicio principal de Adobe, por lo que no se vieron afectados.

Estamos revisando nuestros procesos de desarrollo para ayudar a evitar que ocurra un problema similar en el futuro.

Sin embargo, aún no se sabe cuánto tiempo estuvo expuesta la base de datos que contenía registros de 7.5 millones de usuarios de Adobe Creative Cloud antes de que el investigador lo descubriera.

Se ignora cuanta gente puede haber accedido a la base de datos de forma irregular antes de que Diachenko descubriera la vulnerabilidad. Según recomienda Eo El Output , los usuarios han de estar muy atentos ante la posible llegada de correos de pishing. Y aunque la base de datos no expusieera ninguna información financiera, es conveniente estar pendiente de los movimientos de cuenta bancarios no solo en este caso, sino siempre.

Adobe ofrece autentificación de dos factores que ha de ser usada por sus clientes para proteger sus cuentas.

Adobe Creative Cloud, es un servicio de Adobe Systems que da a los usuarios acceso a los softwares de diseño gráfico, edición de video, diseño web y servicios en la nube.

En el 2013 ya fue noticia por el ataque informático del que fue víctima. Se sustrajeron los datos de 38 millones de clientes, números de tarjetas de crédito, la fecha de expiración de las mismas. Los hackers también tuvieron acceso al código fuentes de las apps. Adobe tiene más de 15.000 empleados en todo el mundo, y cotiza en el Nasdaq. Tras la noticia de la vulnerabilidad provocó un ligerísimo descenso del valor de las accionese el pasado día veinticinco, pero repuntaron casi de inmediato. Sin embargo, el valor de las acciones es muy inferior al del mes de julio.