Yahoo a subi un vol de données sur 1 milliard de comptes
Le chiffre donne le vertige, Yahoo a annoncé avoir été victime d'une intrusion qui a conduit au vol de données associées à plus d'un milliard de comptes utilisateurs. Ce casse s'est produit en août 2013 et s'avère a priori distinct de celui révélé en septembre dernier, avec 500 millions de comptes touchés.
Les informations potentiellement volées en 2013 comprennent des noms, email, adresses, dates de naissance, numéros de téléphone, mots de passes chiffrés et questions de sécurité chiffrées. D'après l'enquête conduite par Yahoo avec l'aide d'experts extérieurs et de services de police, ce butin ne contenait pas les mots de passe dans leur version lisible, ni de numéros de cartes de crédit ou de références bancaires. Yahoo n'est toutefois pas d'une assurance folle dans ses affirmations.
Autre problème de sécurité mis au jour, l'utilisation de cookies trafiqués de manière à donner accès à des comptes sans avoir à taper de mot de passe. Cette fois, il s'agirait d'une opération conduite par la même équipe, soutenue par un état étranger (non nommé) et responsable du vol de septembre.
Yahoo enjoint ses utilisateurs à changer leurs mots de passe et des modifications automatiques ont été lancées pour forcer les gens à se mettre à jour.
L'emoji est effrayant pour le coup.
1 milliard ? Bon il est clair que mon compte y est !
Et les mots-de-passe pas correctement chiffrés, puisqu'avec du MD5 seulement (et non salé, juste hashés, une bénédiction pour les hackers!), ce qui est inacceptable en 2013 (ça aurait dû être au minimum un sha-1 avec un sel, et à ce niveau de jeu un bcrypt() aurait été normal).
Les questions et réponses de sécurités elle-mêmes sont chiffrés pour certains, mais pas pour d'autres!
Quand aux cartes de paiement, Yahoo "crois" (believe) qu'ils n'ont pas été piraté, donc sans aucune certitude, le bonheur...
Florian, as-tu lu le document de Yahoo? Car là c'est explosif, surtout que Yahoo n'ai pas pu identifier l'intrusion qui a permis cela!
Ben entre celle-la et l'attaque precedente reportée, il est clair que 100% des comptes Yahoo sont concernés, mais aussi les comptes des services annexes fourni par Yahoo.
Yahoo indique que les mot de passe etaient chiffrés, donc cela aura ralenti les hacker. Apres, faut pas se leurrer, un mot passe de faible niveau aura ete facilement cassé... la simple technique de piratage par essai des mots composés a partir d'un dictionnaire est redoutablement efficace si on dispose des données en local... donc les mots de passe comme 1234 mais aussi monprenonetmadatedenaissance, ça equivaut a pas de mot de passe du tout!
Ce qui est plus inquietant c'est le numero de telephone lie au compte.
Car un numero de telephone c'est une donnée legale qui permet de faire beaucoup. Idealement, il faudrait donc changer de numero de telephone et ne jamais donner le nouveau a aucun service comme Yahoo et cie.
Mais c'est la que se pose le tres gros probleme, c'est que Yahoo force les utilisateurs a fournir leur numero de telephone.
Donc quoi, faire: annuler simplement son compte Yahoo,faire pression sur Yahoo pour ne plus collecter les numero de tel?
Les mots-de-passe ne sont pas salés individuellements, juste hashés en MD5.
Ça signifie qu'ils peuvent immédiatement repérer tous les mots-de-passe communs aux utilisateurs pour les casser très vite en ayant avec une vingtaine d'essais très rapide par passe (communs à beaucoup) près de 30% des utilisateurs, soit 300 millions d'utilisateurs.
Dit autrement, c'est probablement l'affaire de quelques secondes avec un PC et une -seule- bonne GPU pour ces 300 millions de passes, après ça devient plus compliqué au fur et à mesure, mais là on peut considérer que plus de 900 millions de compte sont totalement hackés, aujourd'hui. (le MD5 est rapide et inefficace)
1 milliard, pour moi ca veut dire qu'il y a un gros paquet de compte fakes
parce que je vois mal 1 personnes sur 7 sur terre avoir un compte chez eux, qui plus est, hackés (combien de compte non hackés ont ils?)
Le fake c'est toi. Ya pas que google dans la vie et encore moins en asie, très grand utilisateur de yahoo...
Bon je viens de lire l'article , c'est vieux et corrigé. Mais pourquoi cette info que maintenant?
500 millions ou 1 milliard ca change rien. Plus gros hack historique, . |
Ils pourraient tout reinitialiser par defaut, repartir a zero. Ca donne pas envie d'ouvrir un email chez eux ?
Le plus gros hack je sais pas, mais j'en doute. Je pense que les attaques sur certaines entreprises de secteurs bien plus problematique comme la santé ou financier peuvent etre bien plus importantes.
Imagines maintenant quand le mega-fichier de Bernard "Stasi" Kazeneuve va etre hacké... ou ceux du FBI et autres comiques du genre.
@C1rc3@0rc
Le plus gros hack de l'histoire en terme de comptes pirate, c'est irrefutable. Pas en terme de dommage financier, y a les crises (banques et Etats) pour ca! 1 milliard de mails, password et birthdates dans la nature, au STRICT minimum, version officielle. Et ils ont mis 3 ans a lacher le morceau. La verite est ailleurs ?
Oui, quel est l'intérêt de changer son mdp maintenant si le vol a eu lieu il y a 3 ans ? Les pirates ont déjà eu tout le loisir de tester les infos qu'ils ont récoltées autre part !
Dans l'ordre : ??????
Déjà 1 milliard Cest juste énorme, mais le pire cest d'être informé 3 ans plus tard...
J'espère qu'au moins ils envoient un mail pour prévenir ?
@CNNN
Yep j'ai reçu un mail cette nuit.
Yahoo c'est un peu comme Flash... sans les mises à jour
Ok, en attendant, depuis 3 ans ça a eu quoi comme effet concrètement ?
Y a des gens qui ont eu des suites de cela ?
Moi à part recevoir régulièrement des invitations à rerentrer mon mot de passe dans l'application mail iOS et OS X, j'ai rien eu de spécial...
Ce qui ne veut pas dire qu'il s'est rien passé pour d'autres, mais bon, c'est bon la terre s'est pas arrêter de tourner.
C'est une bourde monumentale. ?
Ça doit pas être si grave vu qu'ils nous préviennent trois ans plus tard : dormez tranquilles bonnes gens !
Vladimir, vraiment là, tu déconnes...
T'es peut-ëtre pas si loin de la vérité... ?
Comme on change d'adresses mails, de téléphone, de mots de passe régulièrement avec toutes ces histoires; est-ce qu'on peut changer de nom?
...
Je suis concerné, je viens de recevoir ceci. Après je m'en fiche, c'est un junk mail. Je vais changer tout ça et effacer le compte je pense.
"Yahoo
NOTICE OF DATA BREACH
Dear Bob,
We are writing to inform you about a data security issue that may involve your Yahoo account information. We have taken steps to secure your account and are working closely with law enforcement.
What Happened?
Law enforcement provided Yahoo in November 2016 with data files that a third party claimed was Yahoo user data. We analyzed this data with the assistance of outside forensic experts and found that it appears to be Yahoo user data. Based on further analysis of this data by the forensic experts, we believe an unauthorized third party, in August 2013, stole data associated with a broader set of user accounts, including yours. We have not been able to identify the intrusion associated with this theft. We believe this incident is likely distinct from the incident we disclosed on September 22, 2016.
What Information Was Involved?
The stolen user account information may have included names, email addresses, telephone numbers, dates of birth, hashed passwords (using MD5) and, in some cases, encrypted or unencrypted security questions and answers. Not all of these data elements may have been present for your account. The investigation indicates that the stolen information did not include passwords in clear text, payment card data, or bank account information. Payment card data and bank account information are not stored in the system we believe was affected.
What We Are Doing
We are taking action to protect our users:
We are requiring potentially affected users to change their passwords.
We invalidated unencrypted security questions and answers so that they cannot be used to access an account.
We continuously enhance our safeguards and systems that detect and prevent unauthorized access to user accounts.
What You Can Do
We encourage you to follow these security recommendations:
Change your passwords and security questions and answers for any other accounts on which you used the same or similar information used for your Yahoo account.
Review all of your accounts for suspicious activity.
Be cautious of any unsolicited communications that ask for your personal information or refer you to a web page asking for personal information.
Avoid clicking on links or downloading attachments from suspicious emails.
Additionally, please consider using Yahoo Account Key, a simple authentication tool that eliminates the need to use a password on Yahoo altogether.
For More Information
For more information about this issue and our security resources, please visit the Yahoo Security Issues FAQs page available at https://yahoo.com/security-update.
Protecting your information is important to us and we work continuously to strengthen our defenses.
Sincerely,
Bob Lord
Chief Information Security Officer
Yahoo"
J'imagine le nombre d'email phishing qui ont pu suivre sur ce milliard d'adresse.
"Suite a notre enquête, votre compte fait parti du milliard piraté. Ruilez re-initialiser ici"
Pouf, les millions de madame Michu (comme la mère, mon père, mon oncle, etc...) vont cliquer le lien et entrer leur mot de passe actuel et un nouveau.
Bam. Les pirates ont aussi des mots de passe en clair.
Yaaahooo ! J'ai été hacké ! Trop bien !
*prends la porte*
Wahoo
Awww, not again! :-(
Je regrette pas d'avoir fermé mon compte Il y a 3/4 ans, ça part de plus en plus en sucette Yahoo...
Déjà à l'époque je recevais plus de spam que de vrais mails, mais en plus se faire pirater tous les trimestres, c'est pas possible.
Gmail ou iCloud offrent de bien meilleurs services.
Ce que j'ai du mal à comprendre c'est que lorsque qu'un service comme Yahoo se fait hacker,ce n'est pas la totalité de leur base client qui est piratée mais juste une partie (plus ou moins grosse)...
La base client est découpée en plusieurs morceaux chacun etant sécurisé différemment ?
Et continue de donner des milliards à Marissa Mayer....
Probablement la NSA ?
2013...
Ils sont très réactif chez Yahoo.
Bref, si vous avez encore un compte chez eux, fermez le.
@orus
Le probleme n'est pas tant le compte qu'on aurait encore chez Yahoo, mais plutôt les autres comptes que l'on a ailleurs, et qui utiliseraient les mêmes infos ou des infos similaires à celles qui ont ete subtilisées chez Yahoo (mot de passe et identifiants associés, questions de sécurité....).
Il faut modifier tous ces comptes, même si 3 ans plus tard, il est probablement largement trop tard...
@orus
Quant à la réactivité de Yahoo... Je comprends de leur communiqué qu'ils n'ont pris conscience de ce vol que tres récemment et uniquement parce que des services de polices (Law enforcement) les ont alertés en ayant mis la main sur des listings qui semblaient provenir de donnees de comptes Yahoo.
Sans ca, ils n'auraient sans doute jamais su qu'on leur avait subtilisé ces donnees.
Compte supprimé depuis quelque temps et toute utilisation de leurs services abandonnée.
@lmouillart
idem , dommage pour Flickr mais bon....rip
J'aimerais ouvrir un compte Flickr pour héberger mes photos depuis l'étranger où je me trouve, vous pensez que c'est une bonne idée ? J'ai des photos un peu very bad trip cependant, ou alors tout mettre chez Google milles et images, peut-être que dans le lot l'algorithme pourrait m'aider à retrouver des indices de ce qui me serait arrivé la veille dont je n'ai plus souvenir ; et sur Evernote est ce que je peux aussi ? J'ai les adresses de ces endroits plutôt very bad trip, vous pensez que l'algorithme me permettrait de retrouver les gens et les affaires qu'ils m'ont piqués ?