信息來(lái)源：Free Buf

美國(guó)計(jì)算機(jī)軟件公司Adobe在本月初發(fā)現(xiàn)了嚴(yán)重的安全漏洞，該漏洞泄露了Creative Cloud服務(wù)用戶(hù)信息記錄的數(shù)據(jù)庫(kù)。盡管所包含的詳細(xì)信息不是很敏感，但可以針對(duì)數(shù)據(jù)泄露的用戶(hù)精心設(shè)計(jì)一場(chǎng)網(wǎng)絡(luò)釣魚(yú)活動(dòng)。

Adobe Creative Cloud或Adobe CC是一項(xiàng)訂閱服務(wù)，大約有1500萬(wàn)的訂閱戶(hù)，主要提供的服務(wù)是可以訪問(wèn)公司開(kāi)發(fā)的全套流行創(chuàng)意軟件，包括Photoshop，Illustrator，Premiere Pro，InDesign，Lightroom等，這些軟件可在臺(tái)式機(jī)和移動(dòng)設(shè)備使用。

本月初，安全研究員Bob Diachenko與網(wǎng)絡(luò)安全公司Comparitech合作，發(fā)現(xiàn)了一個(gè)Adobe Creative Cloud訂閱服務(wù)的Elasticsearch數(shù)據(jù)庫(kù)，無(wú)需任何密碼或身份驗(yàn)證都可以訪問(wèn)該數(shù)據(jù)庫(kù)，極具威脅性。

此次無(wú)意公開(kāi)的數(shù)據(jù)庫(kù)包含近750萬(wàn)Adobe Creative Cloud用戶(hù)的個(gè)人帳戶(hù)信息，數(shù)據(jù)庫(kù)緩存大小接近86GB，目前公司已將這些數(shù)據(jù)保護(hù)起來(lái)。

公開(kāi)的信息包括Creative Cloud用戶(hù)的：

1、電子郵件地址

2、帳戶(hù)創(chuàng)建日期

3、他們訂閱的Adobe產(chǎn)品

4、訂閱狀態(tài)

5、支付狀態(tài)

6、會(huì)員編號(hào)

7、國(guó)家

8、上次登錄時(shí)間

9、用戶(hù)是否Adobe員工

      攻擊者可利用數(shù)據(jù)做什么

盡管配置錯(cuò)誤的云數(shù)據(jù)庫(kù)不包含任何密碼或財(cái)務(wù)信息（例如信用卡號(hào)），但泄露數(shù)據(jù)帶來(lái)的后果依然十分嚴(yán)重，罪犯可以針對(duì)Adobe CC用戶(hù)開(kāi)展具有高度針對(duì)性且令人信服的網(wǎng)絡(luò)釣魚(yú)攻擊。

Comparitech在博客文章中說(shuō)：“此次泄漏中暴露的信息可能會(huì)使罪犯針對(duì)Adobe Creative Cloud用戶(hù)進(jìn)行網(wǎng)絡(luò)釣魚(yú)電子郵件和詐騙。欺詐者可能冒充Adobe或相關(guān)公司，并誘使用戶(hù)進(jìn)一步泄露信息，例如密碼?！?

Adobe如何處理

研究人員 Diachenko發(fā)現(xiàn)了被公開(kāi)的數(shù)據(jù)庫(kù)，并于10月19日立即通知Adobe。據(jù) Adobe上周五發(fā)布的博客文章稱(chēng)，該公司迅速對(duì)此次安全事件做出了回應(yīng)，并于當(dāng)天關(guān)閉了對(duì)數(shù)據(jù)庫(kù)的公共訪問(wèn)。

“上周晚些時(shí)候，Adobe發(fā)現(xiàn)一個(gè)源碼環(huán)境中涉及用戶(hù)信息的漏洞。我們立即關(guān)閉了配置錯(cuò)誤的環(huán)境，并修復(fù)該漏洞。這個(gè)問(wèn)題與任何Adobe核心產(chǎn)品或服務(wù)的運(yùn)行都沒(méi)有關(guān)系，也沒(méi)有影響產(chǎn)品使用。我們正在審查我們的開(kāi)發(fā)流程，以防止將來(lái)發(fā)生類(lèi)似的問(wèn)題?！?

但是，尚不清楚的是在研究人員發(fā)現(xiàn)包含750萬(wàn)Adobe Creative Cloud用戶(hù)記錄的數(shù)據(jù)庫(kù)之前，該數(shù)據(jù)庫(kù)暴露了多長(zhǎng)時(shí)間。

用戶(hù)應(yīng)該怎么做

研究人員尚不清楚在發(fā)現(xiàn)數(shù)據(jù)庫(kù)之前是否曾有人未經(jīng)授權(quán)訪問(wèn)過(guò)數(shù)據(jù)庫(kù)，如果他們發(fā)現(xiàn)了該數(shù)據(jù)庫(kù)，用戶(hù)應(yīng)多注意網(wǎng)絡(luò)釣魚(yú)電子郵件。這通常是網(wǎng)絡(luò)犯罪分子的下一步，獲取更多詳細(xì)信息，例如密碼和財(cái)務(wù)信息。

盡管數(shù)據(jù)庫(kù)未公開(kāi)任何財(cái)務(wù)信息，但用戶(hù)應(yīng)始終保持警惕，并密切注意銀行和支付卡帳單上的任何異?；顒?dòng)。如果發(fā)現(xiàn)異常，應(yīng)立即向銀行報(bào)告。Adobe還提供了雙因素身份驗(yàn)證，用戶(hù)應(yīng)啟用該身份驗(yàn)證，通過(guò)額外的安全手段來(lái)保護(hù)自己的帳戶(hù)安全。