Creative Cloud : Adobe confirme une violation de données

Le par  |  4 commentaire(s)
facepalm-erreur

Un serveur Elasticsearch non sécurisé d'Adobe a exposé des données de 7,5 millions d'abonnés Creative Cloud. Adobe se montre rassurant.

De manière assez laconique, Adobe a confirmé qu'une vulnérabilité en rapport avec un environnement (en prototype) mal configuré a exposé des données de ses clients Creative Cloud qui permet d'avoir accès à un ensemble d'applications et services.

adobe-creative-cloud
Selon Adobe, cet environnement contenait des informations comme les adresses email d'abonnés Creative Cloud, mais ne contenait pas de mots de passe ou d'informations financières. Adobe ajoute en outre que le problème n'est pas lié et n'a pas eu d'incidence sur le fonctionnement de ses produits ou services.

Cette confirmation fait suite à une publication de Comparitech selon laquelle les données de 7,5 millions d'abonnés Creative Cloud ont été en libre accès sur une base de données via un serveur Elasticsearch non sécurisé (pas de protection par mot de passe).

C'est le chercheur en sécurité Bob Diachenko qui avait fait cette trouvaille et avait immédiatement prévenu Adobe le 19 octobre. Dans la foulée, Adobe avait réagi, mais cette situation a pu perdurer avant la détection du chercheur en sécurité.

Comparitech souligne que les données exposées ne sont effectivement pas les plus sensibles. Parmi celles-ci, l'adresse email, date de création d'un compte, produits Adobe utilisés, type d'abonnement, pays, temps écoulé depuis la dernière connexion, statut du paiement…

Néanmoins, elles sont amplement suffisantes pour permettre à des attaquants du phishing ciblé.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2082232
Ils se montrent rassurants ???? On parle d'un serveur non sécurisé quoi. La question n'est même pas de savoir si oui ou non les données stockées sont sensibles. Leurs clients n'ont simplement pas envie que leurs données soient exposées quelles qu'elles soient en l'absence d'un contrat signé en ce sens.
A leur place j'aurais honte de tant d'amateurisme et d'irresponsabilité !
Le #2082242
Il faudrait une loi avec amende automatique en cas de manquement avéré aux règles de base de sécurité. C'est inadmissible.
Des hacks sont annoncés tous les jours parce que les entreprises sont incapables de suivre l'évolution du web.
C'est leur responsabilité, peu importe le coût, ils doivent sécuriser nos données.
Je ne comprends pas pourquoi la législation n'est pas plus dure...
Le #2082244
pas de mot de passe sur un serveur de test ... ça ne les excuse pas mais ça serait pas les premiers à le faire, mais comment est il accessible de l'exterieur ??? ça c grave
Le #2082287
Moi ce qui me choque c'est "temps écoulé depuis la dernière connexion"...
On en apprend des choses ! On en apprend !
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme