La publication du groupe de hackers D33Ds Compagny n'était pas farfelue ( voir notre actualité ). Yahoo! confirme le vol de 450 000 identifiants et mots de passe. Pour la divulgation avec les précieux sésames en clair, seulement 5 % des comptes sont toutefois concernés par des mots de passe valides.
La fuite obtenue via une attaque par injection SQL est relative à un vieux fichier issu de la plateforme Yahoo! Contributor Network. Anciennement Associated Content, il s'agit d'un éditeur de contenus participatif que Yahoo! a racheté en mai 2010 pour plus de 100 millions de dollars et a rebaptisé Yahoo! Voices.
Lors de ce rachat, Associated Content revendiquait 380 000 contributeurs. Un nombre qui n'est pas très éloigné de la fuite aux 450 000 comptes.
Alerté le 11 juillet, Yahoo! a indiqué entreprendre immédiatement les actions nécessaires pour corriger la vulnérabilité qui a conduit à la divulgation des données, changer les mots de passe des utilisateurs Yahoo! affectés et prévenir les sociétés dont les comptes d'utilisateurs ont aussi été compromis.
Le but de D33Ds Compagny était de sonner l'alerte et secouer les puces de Yahoo! sur la sécurité des données. Une opération manifestement réussie.
Si Yahoo! présente ses excuses, on peut s'étonner que Yahoo! Voices - même pour un ancien fichier - stockait des mots de passe non chiffrés en base de données.
