Une publicité pour des adresses e-mail et mots de passe de 200 millions de comptes Yahoo a été posté sur le Dark Web.
Si vous avez un compte Yahoo, il est plus que recommandé de réinitialiser votre mot de passe. En effet, un pirate notoire du nom de Peace aurait mis en vente des adresses e-mail et mots de passe de 200 millions de comptes Yahoo sur une place de marché du Dark Web, pour un prix de seulement trois Bitcoins (environ 1800 dollars).
Peace n’est pas un inconnu en matière de ventes de données. Il a déjà vendu les données volées d’autres plateformes comme LinkedIn, MySpace, Tumblr ou encore le réseau social russe VK.
Dans un communiqué envoyé à Motherboard, Yahoo a déclaré travailler dur pour garder ses utilisateurs en toute sécurité, ajoutant qu’ils encouragent les utilisateurs à créer des mots de passe forts, créer des mots de passe différents pour les différents services en ligne ou d’utiliser une clé de compte Yahoo, qui permet de ne plus associer de mot de passe à son compte.
Cela dit, Yahoo a concédé qu’il était au courant de la brèche supposée, mais n’a pas encore confirmé ou démentit sa légitimité.
Un échantillon des données obtenu par Motherboard contient les noms d’utilisateur, des mots de passe hachés (algorithme MD5), les dates de naissance et, dans certains cas, une adresse e-mail de secours. Selon le hacker Peace, les données ont été probablement obtenues en 2012. Le pirate prétend avoir échangé les données en privé pendant un certain temps, mais a tout récemment décidé de les vendre.
L’article de Motherboard avance que la plupart des deux douzaines de comptes testés par leur équipe correspondent à de vrais comptes Yahoo. Cependant, en tentant de contacter plus de 100 adresses figurant dans l’échantillon de 5000, un grand nombre ont été retournés à l’expéditeur, ce qui suggère que les données sont soit obsolètes ou partiellement invalides.
Curieusement, Yahoo n’a pas émis de réinitialisation de mot de passe obligatoire, une procédure plutôt fréquente lorsque ce genre d’incidents se produit.
