Découverte le 19 octobre par le traqueur de données Bob Diachenko et l’entreprise de cybersécurité Comparitech, la base de données non sécurisée contenait les adresses électroniques de près de 7,5 millions de clients d’Adobe Creative Cloud, ainsi que les données listées ci-dessous :
- La date de la création du compte.
- Les produits Adobe utilisés.
- Le statut de l’abonnement.
- Si l’utilisateur est un employé d’Adobe.
- Des informations concernant l’identité de l’abonné.
- Le pays.
- La date de la dernière connexion.
- La situation concernant le dernier paiement.
Il s’agit donc ici des emails d’environ la moitié de la clientèle de Creative Cloud, mais à priori les mots de passe ou les données de paiement ne sont pas concernés. Néanmoins, Comparitech a tout de même mis en garde contre le risque d’attaques par phishing :
Les cybercriminels peuvent se faire passer pour l’entreprise Adobe ou une société associée et inciter les utilisateurs à fournir des informations supplémentaires, telles que les mots de passe, par exemple.
À en juger par les indices contenus dans les données, Diachenko pense que cette base a été exposée pendant environ une semaine. Il est impossible de dire si un individu, quel qu’il soit, a pu accéder aux données pendant cette période.
Ce type d’incident vous est familier n’est-ce pas ?
Adobe a sécurisé la base de données le jour même de la découverte du problème et a depuis publié une brève déclaration dans laquelle l’entreprise reconnaissait l’erreur de sécurité :
À la fin de la semaine dernière, Adobe a eu connaissance d’une vulnérabilité liée aux travaux réalisés sur l’un de nos environnements prototypes. Nous avons rapidement mis hors service l’environnement mal configuré, en traitant la vulnérabilité en question.
Et comme maigre consolation, l’entreprise a ajouté que :
Ce problème n’était pas lié et n’avait pas affecté le fonctionnement des principaux produits ou services d’Adobe.
Pour Adobe, c’est une manière de confirmer que le fonctionnement des comptes utilisateur n’a pas été affecté.
La réinitialisation d’un compte Adobe suite à cette violation n’est probablement pas nécessaire et ne permettrait en aucun cas de se protéger contre des attaques de phishing ultérieures.
Une meilleure idée est de vous assurer qu’une authentification supplémentaire a bien été activée dans la section Profil au niveau de votre compte, puis en sélectionnant Mot de passe et sécurité> Validation en deux étapes. Ensuite vous pouvez choisir des codes envoyés par SMS ou générés par une application.
Diachenko et Comparitech ont pris l’habitude de découvrir des bases de données exposées, notamment en août dernier en révélant une base de données MongoDB appartenant à un éditeur mexicain, une autre en mai dernier contenant des données sur 275 millions d’indiens et enfin une base de données Elasticsearch en novembre 2018 contenant des informations détaillées sur 57 millions d’américains.
Cet incident montre une fois de plus que, même si les pirates constituent un risque majeur connu, les entreprises dont le travail consiste à gérer des données peuvent poser un problème tout aussi important.
Billet inspiré de Adobe database exposes 7.5 million Creative Cloud users, sur Sophos nakedsecurity.