Les données personnelles de 7,5 millions d'utilisateurs d'Adobe Creative cloud exposées

Via une base de données Elasticsearch non sécurisée

Les données personnelles de 7,5 millions d'utilisateurs d’Adobe Creative cloud exposées
via une base de données Elasticsearch non sécurisée

Adobe Creative cloud est un ensemble d'applications et de services proposés par Adobe Inc, une entreprise informatique éditant des logiciels graphiques dont InDesign, Acrobat, Photoshop, Illustrator et Flash. Adobe Creative cloud permet aux abonnés d'accéder à un ensemble de logiciels utilisés pour la conception graphique, le montage vidéo, le développement web, la photographie, des applications mobiles, et des services cloud.

Plutôt ce mois, l’entreprise qui compte environ 15 millions d'abonnés à ce jour, a vu exposer la base de données d’enregistrements d’utilisateurs de son très populaire produit Creative cloud, à la merci de toutes personnes malveillantes qui auraient découvert la faille. En effet, les informations de près de 7,5 millions d'utilisateurs d'Adobe Creative cloud ont été exposées sur Internet via une base de données Elasticsearch en ligne. Les données exposées comprenaient principalement des informations sur les comptes clients (adresses mail, date de création du compte, état de l'abonnement, ID de membre, pays d’origine, temps depuis la dernière connexion, statut de paiement), mais pas de mots de passe ni d'informations financières.


La mauvaise configuration des bases de données Elasticsearch n’est pas un phénomène nouveau. En début d’année, un groupe de casinos en ligne a divulgué des informations sur plus de 108 millions d’opérations, y compris des détails sur les informations personnelles des clients. Les données avaient été également exposées via une base de données Elasticsearch mal configurée, sans mot de passe.

Plutôt en juillet, dans la province du Jiangsu en Chine, un serveur ElasticSearch, appartenant au département de la sécurité publique, accessible au public et également non sécurisé avait exposé deux bases de données comportant plus de 90 millions d’enregistrements de données personnelles et d’entreprises. En effet, le serveur de base de données ElasticSearch du département de la sécurité publique de la province du Jiangsu avait été rendu accessible au public avec tous les droits d'administrateur, donnant accès à deux bases de données contenant des informations sensibles sur les personnes et les entreprises.

Bien que les données exposées dans le cas d’Adobe ne soient pas particulièrement sensibles, les clients concernés pourraient être exposés à des risques importants. « Les informations exposées dans cette fuite pourraient être utilisées contre les utilisateurs d'Adobe Creative Cloud dans des courriels et des attaques de types hameçonnage ciblés. Les fraudeurs peuvent se faire passer pour Adobe ou une société partenaire fiable et inciter les utilisateurs à fournir des informations supplémentaires », a déclaré Comparitech une équipe de 30 chercheurs, rédacteurs, développeurs et éditeurs.

Pour sa part, Adobe a admis dans un billet de blog publié le vendredi 25 octobre, que son serveur a présenté une faille. La société a imputé l'incident à une mauvaise configuration de l'un de ses « prototypes d’environnements », ce qui a entraîné l'exposition du serveur sur Internet. « Vers la fin de la semaine dernière, Adobe a pris conscience d'une vulnérabilité sur l'un de nos prototypes d’environnements. Nous avons rapidement résolu le problème de l'environnement mal configuré, corrigeant ainsi la vulnérabilité », a déclaré Adobe.

Source : Comparitech

Et vous ?

Quel est votre avis sur le sujet ?

Utilisez-vous Adobe Creative Cloud ?

Croyez-vous aux raisons avancées par Adobe ?

Voir aussi :

Amazon annonce Open Distro for Elasticsearch, une distribution à valeur ajoutée d'Elasticsearch, qui est 100% open source

La plupart des gestionnaires de mots de passe populaires présentent des vulnérabilités pouvant entraîner le vol de mots de passe, selon un rapport