Adobe expose 7 millions de comptes Creative Cloud en ligne

 
Le géant des logiciels créatifs Adobe a publié un avis de sécurité confirmant la fuite embarrassante de plus de 7 millions de comptes, laissant ainsi les utilisateurs vulnérables aux arnaques par phishing (hameçonnage).
La semaine dernière, un article du blog d’Adobe intitulé “Security Update” a révélé qu’un “environnement” de travail mal configuré avait entraîné la divulgation d’informations client. L’annonce complète est la suivante :

«Chez Adobe, nous pensons que la transparence avec nos clients est importante. En tant que tel, nous voulions partager une nouvelle information concernant la sécurité.
En fin de semaine dernière, Adobe a pris conscience d’une vulnérabilité liée au travail sur l’un de nos environnements prototypes. Nous avons rapidement fermé l’environnement mal configuré, en remédiant à la vulnérabilité.
L’environnement contenait des informations sur les clients Creative Cloud, y compris des adresses mail, mais n’incluait aucun mot de passe ni aucune information financière. Ce problème n’était pas lié et n’affectait pas le fonctionnement des produits ou services de base d’Adobe.
Nous sommes en train de revoir nos processus de développement pour éviter qu’un problème similaire ne se reproduise.»

L’annonce est courte et offre peu de détails. Cependant, un rapport de Comparitech fait la lumière sur la question. Le site aurait fait cette découverte en partenariat avec le chercheur en sécurité Bob Diachenko, qui a immédiatement averti Adobe. La société a corrigé la faille le même jour (19 octobre).
La base de données Elasticsearch exposée contenait près de 7,5 millions de comptes utilisateur Creative Cloud et était accessible sans mot de passe ni autre authentification. On estime que la base de données a été exposée pendant environ une semaine, ce qui laisse suffisamment de temps à une personne pour exfiltrer les données utilisateur et les utiliser dans des tentatives de phishing et de fraude.
Le rapport mentionne également qu’en plus des fuites de courrier électronique, la base de données exposée contenait des informations telles que : la date de création du compte, les produits Adobe dont l’utilisateur est propriétaire, l’état de l’abonnement, si l’utilisateur est un employé effectif d’Adobe, son identité, le pays, le temps écoulé depuis la dernière connexion, le statut de paiement. En d’autres termes, vous disposez de nombreuses informations pour créer une arnaque au phishing extrêmement convaincante. Toutefois, il n’y a pour le moment aucune indication immédiate que les informations exposées ont été effectivement compromises.