Yahoo piraté : 200 millions de comptes monnayés sur le darkweb ?
Des informations prétendument rattachées à 200 millions de comptes Yahoo sont proposées à l’achat sur le darkweb. Le vendeur n’est pas inconnu au bataillon.
Un mystérieux hacker se présentant sous le pseudo « Peace », un média spécialisé baptisé Vice et un chercheur dénommé Troy Hunt : on prend les mêmes et on recommence ?
Impliqué dans le récent retour au premier plan d’un piratage subi en 2012 par LinkedIn, le trio fut aussi dernièrement à la pointe des révélations sur l’ampleur d’une attaque dont Tumblr avait été victime en 2013.
Cette fois-ci, c’est pleins feux sur Yahoo, avec plus ou moins le même mode opératoire. À ceci près que Troy Hunt est beaucoup moins affirmatif qu’il avait pu l’être dans les deux autres dossiers.
Pour le reste, « Peace » s’est à nouveau appuyé sur Vice pour revendiquer un vol massif de données ; rattachées, en l’occurrence, à 200 millions de comptes ouverts chez le groupe Internet américain qui vient de tomber dans le giron de Verizon.
Après avoir pendant un temps monnayé ces données « en privé », le hacker s’est décidé à les vendre via « The Real Deal ».
L’intéressé a ses habitudes sur cette place de marché du darkweb au travers de laquelle il a déjà commercialisé, entre autres, un jeu de données censé contenir 167 millions d’e-mails et 117 millions de mots de passe résultant du hack de LinkedIn susmentionné.
Yahoo veille
Une fois encore, la maison n’accepte qu’une seule devise : il faut payer 3 bitcoins – soit environ 1 500 euros – pour accéder au fichier qui, d’après les échantillons transmis à Vice, renferme des noms d’utilisateurs, des adresses e-mail, des dates de naissance… et des mots de passe hachés avec l’algorithme MD5, donc assez facilement déchiffrables.
Sur une vingtaine d’e-mails testés, la plupart correspondent effectivement à des comptes actuellement ouverts chez Yahoo. En revanche, un grand nombre de ces adresses de messagerie ne sont plus joignables.
Du côté de Yahoo, on confirme avoir lancé une enquête. Mais on ne se prononce pas sur l’authenticité des données en question. Pas non plus de réinitialisation de mots de passe dans les cartons, en tout cas pour l’heure.
« Peace » avait aussi mis en vente, toujours sur « The Real Deal », des informations associées à plus de 360 millions de comptes MySpace. L’échantillon fourni avait illustré une protection des mots de passe largement insuffisante, sans salage (ajout de chiffres aléatoires à la fin de hashs) et avec l’algorithme SHA1, aujourd’hui considéré comme obsolète.
Crédit photo : Mclek – Shutterstock.com