7,5 millions de comptes Adobe Creative Cloud sont compromis

Adobe a reconnu l’existence d’une brèche de sécurité au niveau d’une base de données Creative Cloud sur laquelle étaient stockées les informations de 7,5 millions de comptes utilisateurs et dont l’accès n’était pas protégé par un mot de passe. La brèche a été découverte le 19 octobre par le chercheur en sécurité Bob Diachenko et Adobe l’a immédiatement colmatée. L’éditeur a expliqué qu’il s’agissait d’une erreur de configuration de l'un de ses environnements prototypes et que si celui-ci contenait des informations comme des adresses e-mail, il ne comprenait pas de mots de passe ou d’informations financières. L’entreprise américaine ajoute en outre que ce problème n'était pas lié à l'exploitation des produits ou services de base d'Adobe et n'a pas eu d’incident sur ceux-ci.

Selon le chercheur en sécurité Bob Diachenko et le site spécialisé CompariTech, non seulement des adresses e-mail figuraient dans cette base de données, mais également les noms d’utilisateur et leurs pays d’origine, la date de création du compte, les services utilisés, la date de dernière connexion, ou encore le le statut de l'abonnement et du paiement. Les données étaient disponibles en libre accès et pouvaient être récupérées sans aucun mot de passe ou autre forme d’authentification sur un serveur Elasticsearch, un moteur de recherche et d'analyse en temps réel en mode cloud utilisé par Adobe. Les données rendues publiques sont suffisantes pour permettre des attaques de phishing ciblées, car les données auraient été exposées pendant une semaine, explique Bob Diachenko, qui préconise l’utilisation de l’authentification à deux facteurs pour davantage de sécurité.