De manière assez laconique, Adobe a confirmé qu'une vulnérabilité en rapport avec un environnement (en prototype) mal configuré a exposé des données de ses clients Creative Cloud qui permet d'avoir accès à un ensemble d'applications et services.
Selon Adobe, cet environnement contenait des informations comme les adresses email d'abonnés Creative Cloud, mais ne contenait pas de mots de passe ou d'informations financières. Adobe ajoute en outre que le problème n'est pas lié et n'a pas eu d'incidence sur le fonctionnement de ses produits ou services.
Cette confirmation fait suite à une publication de Comparitech selon laquelle les données de 7,5 millions d'abonnés Creative Cloud ont été en libre accès sur une base de données via un serveur Elasticsearch non sécurisé (pas de protection par mot de passe).
C'est le chercheur en sécurité Bob Diachenko qui avait fait cette trouvaille et avait immédiatement prévenu Adobe le 19 octobre. Dans la foulée, Adobe avait réagi, mais cette situation a pu perdurer avant la détection du chercheur en sécurité.
Comparitech souligne que les données exposées ne sont effectivement pas les plus sensibles. Parmi celles-ci, l'adresse email, date de création d'un compte, produits Adobe utilisés, type d'abonnement, pays, temps écoulé depuis la dernière connexion, statut du paiement…
Néanmoins, elles sont amplement suffisantes pour permettre à des attaquants du phishing ciblé.
