Un mystérieux hacker se présentant sous le pseudo « Peace », un média spécialisé baptisé Vice et un chercheur dénommé Troy Hunt : on prend les mêmes et on recommence ?
Impliqué dans le récent retour au premier plan d’un piratage subi en 2012 par LinkedIn, le trio fut aussi dernièrement à la pointe des révélations sur l’ampleur d’une attaque dont Tumblr avait été victime en 2013.
Cette fois-ci, c’est pleins feux sur Yahoo, avec plus ou moins le même mode opératoire. À ceci près que Troy Hunt est beaucoup moins affirmatif qu’il avait pu l’être dans les deux autres dossiers.
Pour le reste, « Peace » s’est à nouveau appuyé sur Vice pour revendiquer un vol massif de données ; rattachées, en l’occurrence, à 200 millions de comptes ouverts chez le groupe Internet américain qui vient de tomber dans le giron de Verizon.
Après avoir pendant un temps monnayé ces données « en privé », le hacker s’est décidé à les vendre via « The Real Deal ».
L’intéressé a ses habitudes sur cette place de marché du darkweb au travers de laquelle il a déjà commercialisé, entre autres, un jeu de données censé contenir 167 millions d’e-mails et 117 millions de mots de passe résultant du hack de LinkedIn susmentionné.
Une fois encore, la maison n’accepte qu’une seule devise : il faut payer 3 bitcoins – soit environ 1 500 euros – pour accéder au fichier qui, d’après les échantillons transmis à Vice, renferme des noms d’utilisateurs, des adresses e-mail, des dates de naissance… et des mots de passe hachés avec l’algorithme MD5, donc assez facilement déchiffrables.
Sur une vingtaine d’e-mails testés, la plupart correspondent effectivement à des comptes actuellement ouverts chez Yahoo. En revanche, un grand nombre de ces adresses de messagerie ne sont plus joignables.
Du côté de Yahoo, on confirme avoir lancé une enquête. Mais on ne se prononce pas sur l’authenticité des données en question. Pas non plus de réinitialisation de mots de passe dans les cartons, en tout cas pour l’heure.
« Peace » avait aussi mis en vente, toujours sur « The Real Deal », des informations associées à plus de 360 millions de comptes MySpace. L’échantillon fourni avait illustré une protection des mots de passe largement insuffisante, sans salage (ajout de chiffres aléatoires à la fin de hashs) et avec l’algorithme SHA1, aujourd’hui considéré comme obsolète.
Crédit photo : Mclek – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…