Selon l’entreprise de cybersécurité Comparitech, le fabricant de logiciels Adobe aurait omis de sécuriser un serveur Elasticsearch, laissant les informations de plus de 7.5 millions d’utilisateurs du service Creative Cloud accessibles sur le web. L’accès à ces données ne nécessite pas l’utilisation d’un mot de passe, ni d’une authentification quelconque. L’incident a été identifié le 19 octobre dernier. Dans une déclaration, Adobe confirme que son équipe a déjà apporté les correctifs nécessaires. Selon les experts de Comparitech, les informations compromises seraient surtout des adresses mails, des dates de création de compte, d’historiques de navigation, de souscriptions de produits, de statuts d’abonnement et de paiement, des identifiants et les pays d’origine des utilisateurs concernés. La faille ne risque pas de divulguer des informations financières des utilisateurs, étant donné que le serveur compromis n’en contient pas. Mais les pirates peuvent l’utiliser pour réaliser des attaques par hameçonnage (phishing). Selon les experts, ces derniers peuvent imiter un service Adobe pour obtenir des informations personnelles. Afin de l’éviter, les experts préconisent l’utilisation de l’authentification à deux facteurs.
Adobe Creative Cloud comptabilise actuellement 15 millions d’abonnés. Il permet à ses membres d’accéder à des produits Adobe comme Photoshop, Lightroom, Illustrator, InDesign, Premiere Pro, Audition, After Effects, etc. Ce n’est pas la première fois que des utilisateurs ou des entreprises sont victimes de fuites de données via un serveur Elasticsearch. Il y a quelques semaines, des personnalités politiques américaines, ainsi que des citoyens russes et équatoriens, ont vu leurs informations personnelles laissées sans protection sur le web.
À lire aussi : Adobe développe une IA pour détecter les images photoshoppées… et les réinitialiser