Brecha em servidor da Adobe expõe 7.5 milhões de usuários da Creative Cloud

Em mais uma grave brecha de segurança, a Adobe foi a responsável pela exibição dos dados de 7,5 milhões de usuários do Creative Cloud, sua suíte de aplicativos na nuvem. O número é equivalente a metade da base total de assinantes da plataforma, que tiveram vazados e-mails, datas de criação de contas, produtos adquiridos e com assinatura corrente, status de pagamento, IDs e países, além de indicadores caso fossem funcionários da própria desenvolvedora de software.

A falha foi descoberta pela Comparitech, uma empresa de segurança da informação, e informada à Adobe no dia 19 de outubro, tendo sido corrigida rapidamente. Ainda assim, não dá para saber por quanto tempo o servidor que disponibilizava os dados ficou aberto, permitindo o acesso e a visualização dos dados sem a necessidade de senhas ou qualquer outro tipo de autenticação.

Em comunicado, a Adobe disse que a falha aconteceu, especificamente, em um ambiente de prototipagem. Mais uma vez, o problema se deu por conta de uma má configuração de servidores ElasticSearch que, como o nome já indica, entrega uma solução de pesquisas em banco de dados, que funciona na nuvem e com código aberto. É uma ferramenta bastante usada por empresas de tecnologia, mas também, uma alternativa costumeiramente responsável por vazamentos desse tipo quando não configuradas corretamente pelos responsáveis.

De acordo com a Comparitech, como a data em que a brecha se tornou disponível é desconhecida, também não dá para saber se terceiros tiveram acesso não autorizado a ela. Entretanto, a empresa de segurança tranquiliza os usuários, uma vez que dados confidenciais, senhas ou informações financeiras não estavam disponíveis nos servidores, o que torna a brecha um pouco menos perigosa.

Ainda assim, o alerta é para que os assinantes da Adobe Creative Cloud permaneçam atentos, principalmente, a e-mails fraudulentos que possam tentar se passar pela companhia para solicitar credenciais de acesso ou senhas. O olho deve permanecer vivo, também, quanto a outros serviços que compartilhem o mesmo endereço de correio eletrônico, já que eles também podem ser alvo a partir de outros bancos de dados vazados, esses sim, contendo senhas.

A recomendação é que a autenticação em duas etapas seja ativada em todos os perfis de usuário ou, pelo menos, naqueles mais importantes. A medida adiciona um passo adicional ao processo de login, o que faz com que vazamentos como estes se tornem menos preocupantes, uma vez que, mesmo tendo a senha, os hackers não seriam capazes de acessar uma conta.