Jusqu’au 19 octobre, une base de données Elasticsearch d’Adobe était accessible sur la toile, sans mot de passe ni aucune autre authentification.
On y trouvait des informations personnelles sur 7,5 millions de clients d’Adobe Creative Cloud, y compris les adresses électroniques, les informations de compte, et les produits Adobe utilisés.
Adobe Creative Cloud est un abonnement payant qui donne un accès à des logiciels phares de l’éditeur, comme Photoshop, Illustrator, InDesign, Premiere Pro, After Effects, etc.
Comme Adobe compte environ 15 millions d’abonnés, la base de données en libre-service recensait un client sur deux.
Si la base de données ne listait aucune information de carte de crédit, ni aucun mot de passe, les informations personnelles qu’elle met à disposition sont idéales pour mener des attaques d’hameçonnage.
Adobe a été notifié de son erreur par le chercheur en sécurité Bob Diachenko le 19 octobre 2019. Ce dernier a attendu le 25 octobre pour dévoiler sa trouvaille, une fois la base de données sécurisée.
On ne sait pas combien de temps la base de données est restée accessible à tous. Pour Diachenko, sans doute une semaine. On ne sait pas si quelqu’un a tiré parti de la situation.