Après LinkedIn et ses 6,5 millions de comptes dans la nature, Formspring et ses 420 000 comptes ré-initialisés, c’est au tour de Yahoo! d’être la victime d’un groupe de pirates qui vient de dévoiler publiquement divers informations privées stockées habituellement sur les serveurs de Yahoo!
Dans ces informations, disponibles ici, nous retrouvons la liste de 453 492 comptes Yahoo avec leurs noms d’utilisateurs et mots de passe associés (y compris 2 700 tables de bases de données et 298 variables MySQL).
Pour arriver à leurs fins, le groupe de pirates nommé D33Ds Company a réussi à entrer sur un serveur de Yahoo par une exploitation de faille de sécurité via une injection SQL (union-based SQL injection) dans un champ de formulaire ou de recherche. Le service visé à l’origine était l’application “Yahoo Voice” de Yahoo Messenger.
Le groupe de pirate explique que leur action n’a pour but que de faire peur à Yahoo! et non lui nuire en exploitant la faille. Ils souhaitent que l’ex-géant de l’internet se penche sur la sécurité de ses applications et surtout qu’il évite de stocker les informations de connexion et autres données sensibles en clair sur ses serveurs.
En tout cas et en ce moment, tout le monde y passe et ça ne fait jamais une belle publicité ! A qui le tour ?
