Adobe verliert Daten von 7,5 Millionen Creative-Cloud-Kunden

Adobe hat eine über das Internet zugängliche Datenbank unzureichend gegen unbefugte Zugriffe gesichert. Die Elasticsearch Datenbank enthielt Informationen über Kundenkonten von Creative Cloud, jedoch keine Passwörter oder gar Kontodaten. Entdeckt wurde der Fehler von Bob Diachenko, Sicherheitsforscher bei Security Discovery, und Technikjournalist Paul Bischoff, der für CompariTech schreibt.

Kompromittiert wurden E-Mail-Adressen, die für Creative-Cloud-Konten hinterlegten Nutzernamen (Adobe Member ID), sowie Details wie Herkunftsland und die verwendeten Adobe-Produkte. Es waren aber auch Daten wie das Datum der Kontoerstellung sowie das Datum der letzten Anmeldung und Status des Abonnements sowie aktueller Zahlungen einsehbar.

Diachenko und Bischoff stießen auf die Daten am 19. Oktober und informierten Adobes Sicherheitsteam. Das sicherte den Server noch am selben Tag. Diachenko und Bischoff lobten nun Adobe für die schnelle Reaktion und räumten ein, dass das Datenleck nicht so schwerwiegend sei wie andere, die sie zuvor aufgedeckt hätten. Es seien weder Kennwörter noch Bezahldaten enthalten, nicht einmal grundlegende Informationen wie Kundennamen seien gefährdet worden.

Unklar ist hingegen, ob die Datenbank zuvor von Unbefugten gefunden und ihre Inhalte heruntergeladen wurden. Betroffene sollten beachten, dass ihr Daten grundsätzlich für den Versand von Spam-E-Mails benutzt werden könnten. Es sind aber auch zielgerichtete Phishing-Angriffe möglich, um beispielsweise die Kontrolle über bereits bezahlte Creative-Cloud-Abonnements zu übernehmen, die offenbar im Dark Web verkauft werden.

Adobe selbst räumte den Datenverlust Ende vergangener Woche in einem Blogeintrag ein. Das Unternehmen machte eine fehlerhaft konfigurierte Testumgebung für den Vorfall verantwortlich.

Es war allerdings nicht das erste Mal, dass das Unternehmen Daten seiner Kunden verliert. 2013 erbeuteten Hacker nahezu vollständige Datensätze von Adobe-Kunden, inklusive verschlüsselter Bezahldaten. Betroffen waren zudem fast 38 Millionen aktive Nutzer. Zu dem Zeitpunkt war es einer der größte Datenverluste überhaupt. Zum Vergleich, der 2016 von MySpace öffentlich gemachte Hackerangriff betraf fast 360 Millionen Konten.