Les données personnelles de 7,5 millions de clients de l’Adobe Creative Cloud se retrouvent sur la toile

Jusqu’au 19 octobre, une base de données Elasticsearch d’Adobe était accessible sur la toile, sans mot de passe ni aucune autre authentification.

On y trouvait des informations personnelles sur 7,5 millions de clients d’Adobe Creative Cloud, y compris les adresses électroniques, les informations de compte, et les produits Adobe utilisés.

Adobe Creative Cloud est un abonnement payant qui donne un accès à des logiciels phares de l’éditeur, comme Photoshop, Illustrator, InDesign, Premiere Pro, After Effects, etc.

Comme Adobe compte environ 15 millions d’abonnés, la base de données en libre-service recensait un client sur deux.

Si la base de données ne listait aucune information de carte de crédit, ni aucun mot de passe, les informations personnelles qu’elle met à disposition sont idéales pour mener des attaques d’hameçonnage.

Adobe a été notifié de son erreur par le chercheur en sécurité Bob Diachenko le 19 octobre 2019. Ce dernier a attendu le 25 octobre pour dévoiler sa trouvaille, une fois la base de données sécurisée.

On ne sait pas combien de temps la base de données est restée accessible à tous. Pour Diachenko, sans doute une semaine. On ne sait pas si quelqu’un a tiré parti de la situation.