Jusqu’au 19 octobre, une base de données Elasticsearch d’Adobe était accessible sur la toile, sans mot de passe ni aucune autre authentification.

On y trouvait des informations personnelles sur 7,5 millions de clients d’Adobe Creative Cloud, y compris les adresses électroniques, les informations de compte, et les produits Adobe utilisés.

Adobe Creative Cloud est un abonnement payant qui donne un accès à des logiciels phares de l’éditeur, comme Photoshop, Illustrator, InDesign, Premiere Pro, After Effects, etc.

Comme Adobe compte environ 15 millions d’abonnés, la base de données en libre-service recensait un client sur deux.

Si la base de données ne listait aucune information de carte de crédit, ni aucun mot de passe, les informations personnelles qu’elle met à disposition sont idéales pour mener des attaques d’hameçonnage.

Adobe a été notifié de son erreur par le chercheur en sécurité Bob Diachenko le 19 octobre 2019. Ce dernier a attendu le 25 octobre pour dévoiler sa trouvaille, une fois la base de données sécurisée.

On ne sait pas combien de temps la base de données est restée accessible à tous. Pour Diachenko, sans doute une semaine. On ne sait pas si quelqu’un a tiré parti de la situation.