GRATUIT

Vos offres d'emploi informatique

Développeurs, chefs de projets, ingénieurs, informaticiens
Postez gratuitement vos offres d'emploi ici visibles par 4 000 000 de visiteurs uniques par mois

emploi.developpez.com

Yahoo! hacké par injection SQL
Les identifiants de 453 000 comptes divulgués

Le , par Hinault Romaric, Responsable .NET
Un sous domaine de Yahoo a été hacké, et le site a retrouvé une liste des informations personnelles des utilisateurs publiée sur internet.

Un groupe de hackers se faisant appeler "the D33Ds Company" a divulgué récemment les identifiants de près de 453 000 comptes Yahoo, qui auraient été volés à partir d’une base de données associée à un service de Yahoo.

Les hackers ont piraté la base de données de Yahoo en exploitant une vulnérabilité du service pour procéder à une injection SQL.

« Nous espérons que les responsables de la sécurité de ce sous domaine prendront cela comme un signal de réveil et non une menace » écrit le groupe dans le fichier contenant les informations dérobées, qui affirme ne pas avoir publié le nom du sous domaine et les paramètres ayant permis l’attaque afin d’éviter d’autres dommages.

Le service touché par cette attaque serait Yahoo Voice, la solution de VoIP de la firme qui ne serait pas utilisée uniquement par les possesseurs d’un compte Yahoo. Les comptes des domaines gmail.com, hotmail.com et aol.com figureraient également dans la liste.

L’information a été confirmée par Yahoo, qui explique qu’il s’agit d’une vieille base de données rattachée à son portail « Contributor Network ». La société a immédiatement fixé la vulnérabilité, et les comptes affectés recevront un message les invitant à changer leurs paramètres de connexion.

Le cabinet de sécurité SucuriMalware Lab propose également un formulaire dans lequel il vous suffit d’entrer votre adresse mail pour recevoir automatiquement un message vous informant si votre compte figure ou non dans cette liste.

Pour la petite histoire, le mot de passe « 123456 » était le plus utilisé (près de 1666 comptes), suivi par « password » (utilisé par environ 1373 personnes parmi les comptes dérobés), ainsi que « welcome » et « ninja ».

Source : Blog Eset


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de MiaowZedong MiaowZedong - Membre émérite https://www.developpez.com
le 13/07/2012 à 13:37
Qu'est-ce-qu'on dit déjà sur les vieilles casseroles?

Enfin, dans ce cas ce serait plutot les vieilles recettes
Avatar de AlbertSY AlbertSY - Membre du Club https://www.developpez.com
le 13/07/2012 à 14:02
Comme quoi même chez Yahoo! ils prennent des stagiaires pour confectionner leurs outils.
Tu t'étonnes qu'ils n'arrivent plus à innover.

A prendre au second degré.
Puisque les plus grandes firmes (dont Yahoo!) en technos ont été fondées par des mecs alors qu'ils étaient encore étudiants (pas des stagiaires, et re-paf )
Avatar de sevyc64 sevyc64 - Modérateur https://www.developpez.com
le 13/07/2012 à 14:08
Heu, comprend pas, les mots de passe étaient stockés en clair ?

Ca doit pourtant faire plus de 10 ans que l'on dit qui ne faut pas stocker les mots de passe en clair.

Mais bon, quand on voit que dans certaines écoles, même dans les cours de sécurité, cette notion semble passée sous silence...
Avatar de AlbertSY AlbertSY - Membre du Club https://www.developpez.com
le 13/07/2012 à 14:17
Citation Envoyé par sevyc64  Voir le message
Heu, comprend pas, les mots de passe étaient stockés en clair ?

Ca doit pourtant faire plus de 10 ans que l'on dit qui ne faut pas stocker les mots de passe en clair.

Mais bon, quand on voit que dans certaines écoles, même dans les cours de sécurité, cette notion semble passée sous silence...

Que ce soit en clair ou pas, ca ne change rien. Il parait que les algos de chiffrements ou cryptages autorisés (les algos non officiels au US sont interdits, ils ne rigolent pas là-bas) comportent tous des backdoors. Pour des raisons de sécurités nationales il parait.
Mais bon, dans le cas actuel, la méthode du dictionnaire suffisait (quand on sait que cela marche pour au moins 70% des cas quand il n'y a pas de restriction sur les mots de passe). Ici en occurence '123456', 'password' ... étaient possible.
Avatar de MiaowZedong MiaowZedong - Membre émérite https://www.developpez.com
le 13/07/2012 à 14:22
Citation Envoyé par sevyc64  Voir le message
Heu, comprend pas, les mots de passe étaient stockés en clair ?

Ca doit pourtant faire plus de 10 ans que l'on dit qui ne faut pas stocker les mots de passe en clair.

Mais bon, quand on voit que dans certaines écoles, même dans les cours de sécurité, cette notion semble passée sous silence...

Même la plus pourrave des rainbow tables, pour le plus pointus des algo de hash, contient des valeurs pour 123456, password, ou welcome.
Avatar de transgohan transgohan - Expert confirmé https://www.developpez.com
le 13/07/2012 à 19:08
Le service incriminé qu'ils annoncent n'est pas celui en rapport avec la base de données...
J'ai reçu ce joli email de yahoo et je n'ai jamais utilisé de VOIP chez eux... A moins que Microsoft ai vendu Skype à Yahoo ?
Je n'ai chez yahoo qu'une simple boite email (qui sert plus pour les spams qu'autre chose à vrai dire...), je n'ai jamais rien utilisé d'autre...
Avatar de ugo-sans-h ugo-sans-h - Membre régulier https://www.developpez.com
le 13/07/2012 à 23:54
Je trouve ça choquant que des attaques par injection SQL soit encore possible en 2012 !!!

Je ne préfère même pas penser au reste du code, et ne suis pas prêt d'utiliser un service Yahoo
Avatar de transgohan transgohan - Expert confirmé https://www.developpez.com
le 14/07/2012 à 0:11
Citation Envoyé par ugo-sans-h  Voir le message
Je trouve ça choquant que des attaques par injection SQL soit encore possible en 2012 !!!

Je ne préfère même pas penser au reste du code, et ne suis pas prêt d'utiliser un service Yahoo

C'est pas une question d'années qui passent depuis la première attaque de ce type.
Les projets grossissent au fil des années justement, et plus on rajoute plus on peut potentiellement créer des failles. Ils faut donc à chaque modification refaire toute une batterie de test. Or c'est rarement fait car cela coûte cher. Donc on teste le minimum quand ce n'est pas une application critique (à savoir faut que ça fonctionne et point barre) et voilà !
Et je parle même pas des projets qui sont fait de A à Z et qui ne subissent pas de tests dans leur cycle de vie... On préfère les balancer chez l'utilisateur et attendre les remontées de bug. (j'ai vécu cette situation... Je ne sais même pas comment ils peuvent être rentable.)
Avatar de MiaowZedong MiaowZedong - Membre émérite https://www.developpez.com
le 14/07/2012 à 11:35
C'est surtout qu'il faut mesurer le risque que prend l'entreprise dans ces histoires. A priori, ceux qui risquent quelque chose sont plutot les utilisateurs, du coup l'entreprise n'a pas forcément intérêt à dépenser de l'argent pour sécuriser son service.

Un peu comme si Renault pouvait vendre des voitures sans avoir de normes de sécurité à respecter, vous imaginez le nombre de morts? Là, ce ne sont certes pas des vies humaines en jeu (heureusement) mais il faudra peut-être rendre les entreprises plus responsables.
Avatar de Hellwing Hellwing - Membre chevronné https://www.developpez.com
le 16/07/2012 à 8:30
Citation Envoyé par Hinault Romaric  Voir le message
Un groupe de hackers se faisant appeler "the D33Ds Company" a divulgué récemment les identifiants de près de 453 000 comptes Yahoo, qui auraient été volés à partir d’une base de données associée à un service de Yahoo.

[...]

« Nous espérons que les responsables de la sécurité de ce sous domaine prendront cela comme un signal de réveil et non une menace »

Il n'y a que moi que ça choque ?

Je traduis : "On a divulgué des comptes, mais c'est juste pour vous prévenir que vous avez une grosse faille dans votre système ! On est gentils !"
Offres d'emploi IT
Architecte technique des systèmes d'information H/F
Safran - Ile de France - Évry (91090)
Ingénieur intégration, validation, qualification du système de drone H/F
Safran - Ile de France - Éragny (95610)
Data scientist senior H/F
Safran - Ile de France - Magny-les-Hameaux (Saclay)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil