International Cyber Digest
近日國外資安媒體Cyber Security News、Cybernews等報導,軟體大廠Adobe疑似發生資料外洩事件,攻擊者聲稱取得1,300萬筆內含個人資料的客戶支援工單(support ticket),1.5萬筆員工紀錄,還有涉及HackerOne漏洞懸賞平臺的資料,Adobe尚未就此事件發布正式聲明,實際情況仍待釐清。
這起疑似資料外洩事件,最初是資安社群International Cyber Digest在X(Twitter)平臺上發布訊息,駭客Mr. Raccoon宣稱透過入侵Adobe支援系統,取得支援工單與員工資料,隨後多家資安媒體轉述此消息,並補充相關細節。
Cyber Security News在這起事件的報導中指出,攻擊者表示並非直接入侵Adobe系統,而是從Adobe的一家印度業務流程外包商(Business Process Outsourcing,BPO)著手,透過惡意電子郵件在一名外包商員工電腦上部署遠端存取工具,然後逐步擴大控制範圍。令人訝異的是,該BPO廠商的客服系統,竟允許提出單一請求即可大量匯出內含敏感資料的支援工單文件,如客戶個人資料,以及報修技術問題描述等,顯示支援工單平臺可能存在存取控制設定錯誤——允許大量匯出資料,而沒有觸發安全控制或速率限制機制。外洩資料中,還包括從HackerOne漏洞懸賞平臺提交的資料,這意味著可能有尚未公開的漏洞,或其他資安訊息因此洩漏。
雖然Adobe尚未公開回應這起事件,不過,單就攻擊者聲稱的入侵手法而言,也凸顯業務外包及外包商資料存取可能帶來的資安風險。
