Magento Marketplace, la plateforme d’Adobe permettant d’acheter ou de vendre des thèmes et plugins pour boutiques en ligne, a été victime d’une intrusion.

Une faille de sécurité a permis à un nombre indéterminé d’individus d’obtenir l’accès aux données de nombreux utilisateurs inscrits (qu’ils soient acheteurs ou vendeurs), explique aujourd’hui le site spécialisé en sécurité TheHackerNews. D’après Adobe, les données concernées par cette intrusion sont celles associées au compte utilisateur Magento (nom, email, MageID, adresses d’expédition et de facturation, numéros de téléphone et informations commerciales partielles).

Le groupe assure toutefois dans un communiqué que les informations de paiement n’ont pas été impactées et que le ou les hacker(s) n’ont pas été en mesure d’accéder aux services et produits de Magento. En d’autres termes les thèmes et plugins commercialisés sur la plateformes n’ont pas été ciblés et ne contiennent donc pas de backdoors ou de code malveillant. Leur téléchargement peut donc se faire sans craindre de problèmes de sécurité.

Une faille de sécurité rapidement comblée

Dans son communiqué Adobe n’indique pas quand sa plateforme Magento a été victime de cette intrusion. Tout juste apprend-on que cette dernière a été détectée ce 21 novembre. La faille ayant permis cette intrusion a, semble-t-il, été comblée depuis après que le service ait été brièvement suspendu.

“Le 21 novembre, nous avons détecté la présence d’une vulnérabilité liée à Magento. Nous avons temporairement désactivé le Magento Marketplace afin de régler le problème. Le Marché est de retour en ligne. Cette question n’a pas affecté le fonctionnement des produits ou services de base de Magento”, détaillait ce 27 novembre Jason Woosley, ‘VP of Commerce Product and Platform’ chez Adobe.

Notons qu’Adobe ne précise pas le nombre exact d’utilisateurs concernés par cette intrusion. L’entreprise a toutefois informé les utilisateurs de Magento du problème par l’intermédiaire d’un email envoyé cette semaine. Ces derniers sont par ailleurs invités, par acquis de conscience, à modifier leur mot de passe et à remplacer ce dernier sur les autres services pour lesquels il serait éventuellement utilisé.