Yahoo a annoncé que des pirates informatiques auraient volé des données à plus d'un milliard de comptes en 2013. Selon la société, ces données pourraient inclure des noms, des identifiants de courrier électronique, des numéros de téléphone, des mots de passe hachés et des "questions et réponses sécurisées cryptées ou non cryptées".
Cette attaque est distincte de celle révélée par Yahoo en septembre, dans laquelle la société estimait qu'un "acteur parrainé par l'État" avait compromis ses serveurs pour accéder aux données des utilisateurs de plus de 500 millions de comptes. Cependant, il semble que les mêmes pirates aient réussi à se débarrasser de plus de données cette fois-ci.
De l'annonce officielle sur Tumblr:
Comme nous l’avions précédemment annoncé en novembre, les forces de l’ordre nous ont fourni des fichiers de données qu’une tierce partie a déclarés être des données d’utilisateur Yahoo. Nous avons analysé ces données avec l’aide d’experts judiciaires externes et avons découvert qu’il s’agissait bien de données utilisateur Yahoo. Sur la base d'une analyse plus approfondie de ces données par les experts judiciaires, nous pensons qu'un tiers non autorisé, en août 2013, a volé des données associées à plus d'un milliard de comptes d'utilisateurs. Nous n'avons pas été en mesure d'identifier l'intrusion associée à ce vol. Nous croyons que cet incident est probablement différent de l'incident que nous avons divulgué le 22 septembre 2016.
Pour les comptes potentiellement affectés, les informations de compte d'utilisateur volées peuvent inclure des noms, adresses e-mail, numéros de téléphone, dates de naissance, mots de passe hachés (avec MD5) et, dans certains cas, des questions et réponses de sécurité chiffrées ou non chiffrées. L'enquête a révélé que les informations volées n'incluaient pas les mots de passe sous forme de texte en clair, de données de carte de paiement ou d'informations de compte bancaire. Les données de carte de paiement et les informations de compte bancaire ne sont pas stockées dans le système qui, selon la société, a été affecté.
Yahoo a également déclaré que les pirates avaient pu créer des "cookies" d'authentification de la société, leur permettant d'accéder aux comptes d'utilisateurs sans avoir besoin d'un mot de passe:
Sur la base de l’enquête en cours, nous pensons qu’une tierce partie non autorisée a accédé à notre code exclusif pour apprendre à falsifier les cookies. Les experts légistes externes ont identifié des comptes d'utilisateurs pour lesquels, à leur avis, des cookies forgés ont été capturés ou utilisés. Nous informons les titulaires de compte concernés et avons invalidé les faux cookies. Nous avons associé une partie de cette activité au même acteur que l'État, présumé responsable du vol de données divulgué par la société le 22 septembre 2016.
Si vous avez un compte Yahoo, il est temps de changer votre mot de passe. Créez un mot de passe fort et assurez-vous que le mot de passe que vous utilisez sur le service n'est réutilisé nulle part ailleurs. Vous devez également activer l'authentification à deux facteurs pour votre compte Yahoo.
