RockYou laisse échapper 32 millions de mots de passe

La société de sécurité Impreva a indiqué avoir récemment découvert une faille de type injection SQL dans le site RockYou. Lancé en 2006, ce site développe des applications pour des réseaux sociaux parmi lesquels Facebook, MySpace, Bebo. Cette faille est considérée comme très sérieuse par Impreva, précisant que bien souvent les identifiants et mots de passe sont les mêmes que ceux utilisés avec des comptes webmail.

Dans une note, RockYou concède avoir été la victime d'une brèche de sécurité, et la possibilité pour un attaquant d'avoir pu accéder aux adresses e-mail et mots de passe de son système. RockYou recommande à ceux qui utilisent les mêmes identifiants pour d'autres services en ligne de les modifier sans tarder.

Alors que le doute subsiste quant à savoir si ladite vulnérabilité a effectivement été comblée ou non, toute cette histoire semble bien faire rire un individu qui se présente sous le pseudonyme de igigi et affirme avoir en sa possession très exactement 32 603 388 comptes de RockYou. Il a déjà procédé à une petite publication, et on peut s'apercevoir que les mots de passe de la base de données de RockYou étaient stockés en clair ( avec les identifiants ), c'est-à-dire au format texte, sans le moindre chiffrement.

igigi qui suppose que sa récolte lui permettra sans nul doute de compromettre des comptes MySpace et autres, demande à RockYou d'arrêter de mentir à ses utilisateurs, sous peine de tout publier.