Eine offene Elasticsearch-Datenbank enthielt Millionen Kundendaten von Adobes Creative Cloud. Passwörter und Zahlungsdaten waren aber nicht darunter.

Adobe hat knapp 7,5 Millionen Kundenkonten seines Dienstes Creative Cloud für alle offen einsehbar online gestellt. Die Elasticsearch-Datenbank war ohne Authentifizierung oder eine andere Sicherheitsmaßnahme übers Internet erreichbar. Dadurch waren zahlreiche Kundendaten bloßgestellt – allerdings weder Passwörter noch Zahlungsinformationen wie Kreditkarten- oder Kontonummern.

Der Security-Spezialist Bob Diachenko hatte gemeinsam mit Comparitech das Leck am 19. Oktober aufgedeckt und Adobe umgehend darüber informiert. Das Unternehmen reagierte sofort und sicherte den Datenbankzugriff noch am gleich Tag ab. In einem Blogbeitrag schreibt Comparitech, es sei unklar, wie lange die Daten zugänglich gewesen sind, aber Diachenko geht von etwa einer Woche aus. Auch sei unbekannt, ob zuvor jemand auf die Daten zugegriffen habe. Von dem Datenleck betroffen waren: E-Mail-Adresse, Datum der Kontoerstellung, genutzte Adobe-Produkte, Abostatus, ob das Konto einem Adobe-Mitarbeiter gehört, Member-ID, Land, letzter Login, Zahlungsstatus.

Somit sind zwar keine unmittelbar vertraulichen Daten betroffen, aber insbesondere in Kombination mit der E-Mail-Adresse lassen sich solche Informationen zu gezielten Phishing-Angriffen (auch als Spear Phishing bekannt) nutzen – da Creative-Cloud-Kunden nicht selten in einem Unternehmen tätig sein dürften, ist darüber auch dessen internes Netz potenziell bedroht. Kunden der Adobe Creative Cloud müssen nach diesem Datenleck nicht tätig werden, sollten aber bei Mails mit der Aufforderung, einen Link anzuklicken, äußerst misstrauisch sein.