Adobe 1300 万条工单泄露：入口不是主系统，是外包商

网络安全账号 International Cyber Digest 近日披露，一名化名 "Mr. Raccoon" 的威胁行为者声称入侵了 Adobe 帮助台系统，涉及约 1300 万条支持工单、1.5 万条员工记录，以及从 HackerOne 平台拉取的漏洞赏金提交内容。Adobe 目前尚未做出官方回应。

这起事件最值得注意的地方，不在数据量本身，而在于攻击者的进入方式和数据被导出的过程。

入口是外包商，不是 Adobe 主系统

据报道，Mr. Raccoon 并没有直接攻击 Adobe 的核心基础设施，而是选择了一家印度 BPO（业务流程外包）公司作为入口。这家 BPO 负责 Adobe 的客服支持工单处理。

攻击路径大致如下：先向 BPO 一线客服人员发送钓鱼邮件，植入远程访问工具（RAT），获得对工作站的完全控制。随后，攻击者并未急于行动，而是打开摄像头、阅读员工 WhatsApp 消息，花时间观察内部沟通的方式、流程和层级关系。

在充分了解内部架构后，攻击者用被控员工的账号向其主管发送了第二轮钓鱼邮件。对于安全系统来说，这封邮件来自已知内部地址，不会触发异常告警。主管点击后泄露了具有管理权限的凭证，Mr. Raccoon 由此获得了 Adobe 帮助台系统的管理级访问权限。

一次请求，1300 万条记录

获得权限后，据称 Mr. Raccoon 用一个工单代理账号，"一次请求"便导出了整个支持工单数据库——约 1300 万条记录。

没有触发速率限制。没有 DLP（数据防泄漏）告警。安全运维中心没有收到任何异常通知。数据在没有任何阻力的情况下走出了系统。

在正常配置的安全环境中，一次代理账号发起的全量数据导出应当触发一系列自动化告警：异常数据量、非工作时间访问、管理员级别的批量操作。这些都没有发生。暴露出的是帮助台系统在访问控制和数据导出治理上的系统性缺陷。

泄露了什么

支持工单：1300 万条工单包含用户姓名、邮箱、账户 ID、内部技术备注。部分工单中可能还夹杂着用户在沟通中无意泄露的密码、银行卡号等敏感信息。这些数据本身既是身份盗窃素材，也是伪造 Adobe 客服身份进行社工攻击的原料。

员工记录：约 1.5 万条，可能包含家庭住址、电话、工号、薪酬等个人隐私数据。

HackerOne 漏洞提交：这是此次泄露中最特殊、也最令人担忧的部分。HackerOne 是白帽安全研究人员向企业报告漏洞的平台。这些提交包含完整的概念验证代码和漏洞利用步骤。如果这些数据流入地下市场，相当于把针对 Adobe 的攻击手册公开给所有潜在的攻击者。

HackerOne 数据的特殊风险

工单泄露和员工信息泄露，虽然影响范围大，但应对方式相对明确：通知受影响用户、监控欺诈行为、重置凭证。

HackerOne 数据泄露的性质完全不同。漏洞赏金体系建立在信任之上：研究者负责任地披露漏洞，相信企业会及时修补。如果这些提交内容被泄露，研究者辛苦发现的漏洞反而成了攻击者的武器库。未修补、部分修补或被搁置的漏洞，将直接面临被地下市场利用的风险。

这意味着 Adobe 在修补窗口上已经失去了先手优势。

供应链安全的盲区

这不是 Adobe 第一次遭遇大规模泄露。2013 年，Adobe 曾被攻击，影响了约 3800 万用户，并泄露了 Photoshop 等产品的源代码。那次事件之后，Adobe 大幅加强了云端架构和安全开发流程。

但那些投入集中在自身系统上。外包商、供应商、BPO 合伙人——这些"侧面入口"的安全治理往往滞后于核心系统的防护级别。BPO 行业普遍面临安全预算有限、人员流动率高、安全培训不足的问题，使其成为攻击者眼中高价值且低防御的目标。

Mr. Raccoon 展示的是一种越来越常见的攻击模式：不正面突破，而是找到防守最薄弱的供应商环节，利用合法权限链条一路向上。

截至目前，Adobe 尚未对该事件做出官方确认或否认。多名安全研究人员在评估后认为泄露说法"看起来可信"，但影响范围可能限于帮助台系统，而非 Adobe 内网整体。

来源：International Cyber Digest、Cybernews、The CyberSec Guru