Datenbank falsch konfiguriert
Adobe-Fehler: Creative-Cloud-Daten von 7,5 Millionen Nutzern im Netz
Adobe hatte Daten von mehr als sieben Millionen Creative-Cloud-Kunden ungeschützt im Internet liegen. Sicherheitsforscher haben eine Datenbank des Softwarekonzerns mit knapp 7,5 Millionen Einträgen gefunden, die für „jedermann mit einem Webbrowser“ frei zugänglich war.
Konkret hat Adobe demnach eine mit der Open-Source-Suchmaschine Elasticsearch kompatible Datenbank ohne Passwortschutz online gestellt, in der umfangreiche persönliche Daten von Creative-Cloud-Kunden gespeichert waren. So konnte man neben den E-Mail-Adressen auch das Datum der Kontenerstellung, den Status von Abo und Bezahlungen, die Nutzerkennung, Herkunftsland und die seit der letzten Anmeldung vergangene Zeit abrufen, zudem war ersichtlich, welche Adobe-Produkte verwendet werden.
Wenngleich weder Passwörter noch Informationen zu verwendeten Zahlungsmitteln enthalten waren, könnten die offengelegten Daten von Kriminellen für Phishing-Aktionen verwendet werden. Creative-Cloud-Kunden sollten daher zukünftig besonders kritisch auf vermeintliche Adobe-E-Mails uns sonstige Kontaktaufnahmen reagieren. Zahlenmäßig scheint rund die Hälfte aller Creative-Cloud-Konten betroffen, zuletzt machte die Zahl von insgesamt 15 Millionen Kunden die Runde.
Adobe hat den Sachverhalt mittlerweile bestätigt:
Bei Adobe legen wir Wert auf Transparenz gegenüber unseren Kunden. Aus diesem Grund wollten wir die folgenden Sicherheitsinformationen mit ihnen teilen.
Ende letzter Woche wurde Adobe auf eine Schwachstelle im Zusammenhang mit der Arbeit an einer unserer Prototyp-Umgebungen aufmerksam. Wir haben die falsch konfigurierte Umgebung umgehend aus geschaltet und beheben die Schwachstelle.
Die Umgebung enthielt Kundeninformationen von Creative Cloud, einschließlich E-Mail-Adressen, enthielt jedoch keine Passwörter oder Finanzinformationen. Dieses Problem stand in keinem Zusammenhang mit dem Betrieb von Kernprodukten oder -dienstleistungen von Adobe und hatte auch keine Auswirkungen darauf.
Wir überprüfen unsere Entwicklungsprozesse, um zu verhindern, dass in Zukunft ein ähnliches Problem auftritt.
Dafür zahlt die Masse Dich gerne Abo-Gebühren…
Sowas muss man in Kauf nehmen.
Ich finde, dass das vielleicht ein wenig too much ist. Man muss es in Erwägung ziehen, dSs sowas passieren kann aber akzeptieren muss man es nicht.
Äh, das ist schon das 2te mal, dass Adobe das passiert. Da sollte man schon erwarten, dass da was gegen gemacht worden ist.
nein
Genau das ist das Problem. Bei den Preisen und dieser Abo Politik erwartet man einfach mehr. Aber das Preis- / Leistungsverhältnis stimmt bei vielen Premium Hersteller nicht mehr.
Na toll… lieber erstmal PW ändern. Aber dennoch völlig unverständlich. Denken die Leite nicht mehr nach?!
Zeit darüber nachzudenken meine Adobe ID zu löschen. Habe eh seit 2 Jahren kein Abo mehr. Aber halt, dass ist ja recht kompliziert bei Adobe, es gibt dazu keinerlei Infos auf Adobe Webseiten. Man muss den deutschsprachigen Online Chat, erreichbar, Montag bis Freitag 09:00–16:45 Uhr, kontaktieren und sein Anliegen dort vortragen. Oder halt gut Englisch können. Werde das Morgen mal ausprobieren, bin schon auf die blöden Fragen des Hotline Mitarbeiters gespannt
Ja, der hat bestimmt keine Ahnung, der Vogel.
https://helpx.adobe.com/at/manage-account/using/delete-adobe-account.html
oh danke, da habe ich gestern nach gesucht und es nicht gefunden, der Suchbegriff „Adobe ID löschen“ hat mich nicht dahin geführt?! Wie hast du die den gefunden? Auf Chat und Rückfragen habe ich nicht so viel Lust, daher „blöde Fragen“. Ich habe nie gesagt das der Hotline Mitarbeiter keine Ahnung hat, der hat halt seinen Fragenkatalog den er abarbeiten muss und mir als (Ex) Kunde ist das halt lästig, hätte das ja auf der Arbeit machen müssen und das findet meine Arbeitgeber eventuell wiederum doof … bei anderen Firmen habe ich diese Info immer mit einer google Suche gefunden, hier nicht?!
Danke! Das ist ja mal ein hilfreicher Link! Perfekt! Hat funktioniert!
Danke für den Link! Ich hatte noch ein Kto., das ich eh nicht benutzte.
:-)
Sonst einfach Löschung nach DSGVO beantragen und mit rechtlichen Schritten drohen. Das klappt eigentlich immer.
Tja so ist das wenn man überall seine richtigen Daten angibt … zu märchenhaft im Web unterwegs ?!
Ich verstehe nicht wie nach all den Daten Skandalen der letzten Jahre, es immer noch sein kann das bei so großen Firmen Daten überhaupt irgendwo unverschlüsselt liegen.
Die verschlüsselte Ablage schützt hier nicht, da zur Verarbeitung die Daten entschlüsselt sein müssen.
Die Lass-uns-schnell-mal-alles-teilen-Welt mit ihren Clouds, SharePunkte und EinDrive wird immer unübersichtlicher.
Gib rasch was frei und vergiss, wer alles Zugang bekommt oder der Externe legt was für den Freigebenden in den Ordner, ohne dass er weiss, wer sonst noch Zugriff hat.
Zumal erst vor wenigen Jahren bei Adobe alle Accounts geleakt wurden. Da scheint intern überhaupt nichts passiert zu sein, kein Verständnis, keine Sicherheitsbarrieren, keine regelmäßigen Schulungen, keine technischen Lösungen … Einfach nur krass!
Adobe hat doch geschrieben, dass sie für alle transparent sein wollen, das haben sie doch damit geschafft.
Ups
Einfach mal ne Anfrage nach DSGVO stellen und schauen was sie sagen wem sie die Daten zugänglich gemacht haben :)
Warum werden solche Firmen abgemahnt und bestraft? Für mich liest sich das wie ein „ups, shit happens…egal, machen wir weiterhin so.“ Wenn ich an deren AGBs halten soll und dafür auch noch zahle, sollen die das gefälligst auch tun, ansonsten müssen wir über Entschädigungen reden. Das geht so nicht weiter!!! Jeder Mittelständer der sich nicht exakt an die DSGVO hält wird bestraft, aber die Großen a la Google, Apple, Amazon, Adobe, Facebook & Co dürfen sich unsere Daten zuschmeißen wie sie lustig sind. Und am Ende war alles nur ein großes Missverständnis.
Hätte uns doch nur jemand davor gewarnt!!1! Oh wait… es stellt sich tatsächlich die Frage ob diese „Datenpanne“ Konsequenzen, zumindest in der EU, für Adobe hat. Ansonsten können wir das mit der DSGVO auch einfach bleiben lassen.
Wo kein Kläger …
Da braucht es keinen Kläger. So ein Vorfall ist in jedem Fall eine meldepflichtige Datenpanne. Und wenn Adobe die nicht meldet, muss die Aufsichtsbehörde von sich aus tätig werden. Und das wird bei einem derartigen Umfang mit Sicherheit passieren.
Ich hoffe, dass da etwas passiert.
Würde gerne auch über die Konsequenzen bzw. die Strafe lesen.
@clausimausi
Die Konsequenz wird sein, dass die Abopreise steigen und der Kunde bestraft sein wird.
So einfach funktioniert das bei Monopolen.
Und ja, Adobe hat ein Monopol bzw. ein Universum geschaffen, aus dem vielleicht „kleine“ Anwender ausbrechen, aber je mehr Dienstleistungen etc. man von Adobe einsetzt, umso weniger kommt man davon los. Siehe Apple.
Nicht das erste mal.. Oder?
nein, 2013 hatte Adobe diesbezüglich schon mal ein großes Datenleck und ich werde seither mit diversen Spam Mails „beglückt“. Daher auch der Wunsch die ID jetzt endgültig zu löschen. Dann bin ich beim nächsten mal wenigstens nicht mehr betroffen
Liebend gerne würde ich weg vom Abo – und auf Affinity umsteigen. Aber: was ist meinen unzähligen InDesign Dokumenten, die ich vllt. in ein paar Jahren mal wieder hervorkramen muss? Wie schaut da ein praktischer Workflow aus (sofern es einen gibt)? Die Tage hatte ich einen Bericht gelesen, in dem ein aktueller Umstieg auf A. Publisher im Pro-Bereich abgeraten wurde.
Affinity hat noch genügend Bugs.
Und was noch mehr nervt: man sucht sich Tod, weil man die Adobe Handgriffe 20 Jahre lang geübt hat und jetzt nichts mehr am alten Platz ist.
Ja, kann man alles lernen. Aber hat man die Zeit dafür ? Und den Willen ? Ich war früher Pro User. Heute brauche ich Adobe Produkte vielleicht 2 Stunden im Quartal. Dafür die volle Suite dauerhaft als Privatperson bezahlen ? Und ab Catalina läuft nichts mehr ohne das Abo… ich könnte kotzen.
Schau dir mal Virtualbox an. Für die 2h/Q reichts. Vielleicht werden es dann 3h :)
Das mit Indesign ist in der Tat ein Problem. Wir haben allerdings im Vorfeld die wichtigsten Dokumente als PDF exportiert, diese lassen sich mit Publisher in nahezu 90% unserer Fälle sehr gut bearbeiten. Ansonsten sind wir super zufrieden mit der Performance und auch mit dem massiv gesparten Geld. An die eingeübten Shortcuts haben wir uns recht schnell gewöhnt auch wenn ich heute noch ab und an gewisse Funktionen suchen muss. Witzigerweise sind manche Dinge viel einfacher als in den Adobe Programmen. Kurz zum Hintergrund: wir arbeiten als Agentur mit sechs Arbeitsplätzen seit August ausschließlich mit Affinity und sind wirklich zufrieden.
Vielleicht solltet ihr über Eure Erfahrungen beim Umstieg zB hier berichten. Ich denke, dass dieses Thema viele interessiert und auch gerne umsteigen wollen.
Ist schon das zweite Mal das meine Daten von Adobe frei im Netz standen. Beim ersten Mal wurde meine Adresse bereits für Span mißbraucht. Unglaublicher Saftladen!
Danke für die Info!
Sofort kündigen. Geld kassieren und Datenschutz gleicht einem … Vorbild…
Ist halt schlecht, wenn man sich nur unqualifizierte Billigkräfte einstellt!!
Armselig, Adobe!!
Ich glaube nicht mehr an einen „Zufall“.
Glückwunsch – erst jetzt?
Ich bin da schon etwas länger hinter ein System, bzw. Regelmässigkeit gekommen.
Schon wieder?
Daten gehören nicht in eine Cloud, Es gibt keine Sicherheit, nirgens
Und doch verwenden zig Millionen Benutzer Google Dienste und senden Fotos, Kalendereinträge Dokumente und Kalkulationen in die cloud, benutzen WhatsApp und Facebook und ein kleiner Teil davon ist sich dessen nicht mal bewusst. Und fast immer gäbe es Alternativen (Threma, Signal, Liberoffice, Affinity, usw). Aber umsteigen/umlernen ist ja soo schwer!
Libreoffice ist für Poweruser nicht zu gebrauchen.
Als ob die Daten on-premise sicherer wären… Die Cloud ist viel sicherer als das, was die meisten Unternehmen in ihren eigenen Rechenzentren betreiben.
Am besten schaut man sich nicht an, wie bei der öffentlichen Verwaltung sensible Daten verarbeitet werden.
Als ich einmal in den 2011er Jahren in einem Forum solche Szenarien der Cloud Beschrieben hatte wurde ich nahezu vertrieben. Jetzt heisst es nur noch „die Geister die ich rief“..
(((<3)))
Zeit für „Login with Apple“
Habe mehrere Benutzer – Konten vor einer Woche gelöscht. Nicht abgemeldet, sondern gelöscht.
Adobe war da noch mit am einfachsten.
Wird immer wieder passieren, das Daten frei rumliegend bereitstehen zum abgriff.
Das muß einem klar sein ,dass es nur erschwert werden kann, aber nicht vermeidbar ist.
In diesem Fall wohl eher grobe Fahrlässigkeit.
Gibt wirklich eine Menge Apps ,welche nach Erstellung eines Benutzer – Kontos, bei der Löschung selbigen Kontos die Suche losgeht.
Habe gerade free now (ehemals my taxi) am Wickel.
Geht wahrscheinlich wieder nur per Email-Kundenservice.
Auch so eine…erst Anmeldung,
dann gucken und probieren.
War nicht mein Ding, aber meine Daten gespeichert.
Nun löschen suchen… Scheibenkleister…
Benutze jetzt Taxi .eu…
Empfehlenswert…
Finde das da mal eine grundlegende Vereinheitlichung hingehört.
Das App-Anbieter, welche lediglich per Anmeldung nutzbar sind, sich verpflichten müssen ,innerhalb der App das löschen des Benutzer – Kontos anzubieten.
Und zwar deutlich !!!
Bitte alle auf Affinity umsteigen ;-)
Nein, warum auch? Meinste die sind besser im Datenschutz? Lächerlich!
Zumindest haben die keinen Abo-Zwang, keine solche CLoud (haben die überhaupt eine?) …
Ups kann ja mal passieren
Das ist schon oft genug passiert, warum machen es große Firmen immer noch ?
Ich denke da steckt was anderes hinter, gegen ein bisschen Geld werden die Kundendaten mal für einen Tag veröffentlicht. Dann wird sich entschuldigt und auf der anderen Seite kassiert
Zum Glück nur ’nen Fake-Account.
Jeder kennt den Flashplayer, also kennt jeder den „zuverlässigen“ Datenschutz.
Sehr interessant was hier für Halbwissen verbreitet wird und vor allem wie sich einige zu Dingen äußern die im Kern nichts mit dieser Thematik am Hut haben, nur weil sie aus anderen Gründen verärgert über Adobe sind.
1. Es wurde mal wieder die Elastic Search falsch konfiguriert. Wer oder was ist das. Google hilft.
2. Der Vorfall mit Adobe erscheint gleich recht klein und „harmlos“, wenn man gesehen hat was die falsch konfigurierte Elastic Search in den letzten Monaten angerichtet hat. Stichwort Ecuador und Brasilien. Hier wurden Datenbanken mit haufenweise sehr sensiblen Daten über praktisch jeden Einwohner geleakt.
3. Solange die Bürger sich selbst nicht äußerst disziplinär an Sicherheitsbasics halten und diese umsetzen. Und solange nicht der Großteil der Menschheit ein BEWUSSTSEIN für die Technik und Sicherheit entwickelt wird sowas gehäuft auftreten.
In diesen Firmen arbeiten auch nur Menschen, welche an ihrer Arbeit exakt gleich diszipliniert mit dieser Thematik umgehen wie ihr. Deshalb die Frage an die zahllosen Kommentierer von oben: Haltet ihr euch selbst an die Basics oder ist es leichter auf die anderen zu zeigen?
Vielen Dank für die Infos. Interessant.
Was das Bewusstsein bzw. Basics betrifft, gehört das in erster Linie zum Anbieter, der dafür zu sorgen hat, dass die ihm anvertrauten Daten nicht von unberechtigter Seite eingesehen werden können.
Jeder Hersteller hat dafür zu sorgen, dass der unbedarfteste Anwender mit/wegen seinem Produkt keinen Schaden erleidet. Und wenn es nur eine Sicherung ist, die zuerst entriegelt werden muss. Ebenso mit Daten, die ein Anbieter sammelt.
In diesem Fall reden wir nicht von Laien, die ein komplexes System konfigurieren müssen, sondern von Profis, die wissen sollten, was sie tun. Deshalb bin ich da anerer Meinung, als du.
Ja, Fehler passieren. Aber die (SW-)Hersteller schaffen so verschachtelte Systeme, dass nicht mal sie selber mehr durchschauen. Und das fliegt ihnen um die Ohren. Und es wird immer öfters und schneller solches passieren. Aber es ist ihnen egal. Und das ist gefährlich.
Aber eben, die Welt ist ja nun mal so und wir haben das hinzunehmen und zu zahlen – hmm?
Wie ist das eigentlich rechtlich? Ich habe denen ja meine emailadresse vertraulich gegeben. Nun wurde diese öffentlich gemacht. Wenn ich nachweislich nun dadurch Spam bekomme, könnte man Schadenersatz gültig machen? Einmal auf den Spamlisten drauf kommt man nicht mehr runter.
„Bei Adobe legen wir Wert auf Transparenz“ <- das haben sie bewiesen