Yahoo pourrait débourser jusqu'à 117,5 millions de dollars suite au recours collectif
Un pirate expose les données de plus de 200 millions d’utilisateurs de Yahoo
sur le web obscur et les met en vente pour 3 bitcoins
Un hacker affirme détenir les infirmations de plus de 200 millions d’utilisateurs de Yahoo qu’il met en vente sur le web obscur. Alors que Yahoo déclare mener des investigations sur une éventuelle attaque, le hacker qui se fait appeler Peace_of_Mind, celui-là même qui est à l’origine de plusieurs autres attaques du genre a mis en vente le fruit de sa forfaiture sur le site TheRealDeal. Peace_of_Mind qui s’est aussi servi dans le passé de sites comme LinkedIn, MySpace, Tumblr, Fling.com ou encore VK.com a réussi à dérober les informations personnelles de plus de 800 millions d’utilisateurs sur différents sites et services.
D’après la description faite des données d’utilisateurs piratées de chez Yahoo, ces dernières dateraient de 2012 au moment de l’arrivée de Marissa Payer à la tête de l’organisation. Cette même année, un groupe de hackers dénommé D33ds avait déclaré avoir réussi à pirater Yahoo, mais la société avait alors rétorqué avoir perdu seulement les données de quatre cent mille utilisateurs durant l’incident.
Les plans du pirate pourraient être de solder rapidement les données qu’il détiendrait depuis 2012 pour éviter qu’elles ne perdent leur valeur. En effet, depuis le rachat de Yahoo par Verizon, ce dernier n’a pas encore fait savoir ce qu’il comptait adopter comme nouvelle politique concernant sa nouvelle acquisition. Dans le cas où Verizon déciderait d’intégrer les données de Yahoo dans d’autres services ou encore de les mettre tout simplement de côté du fait qu’elles sont compromises, ces dernières n’auraient plus aucune utilité pour un quelconque acheteur potentiel.
Les données volées par le pirate contiennent entre autres les noms d’utilisateurs, les dates de naissance ainsi que les mots de passe cryptés des comptes. Le hacker déclare qu’il échange ces données contre 3 bitcoins soient environ 1800 dollars américains. Certains enregistrements contiennent également les adresses email de récupération, les pays d’origine et les codes postaux des utilisateurs américains.
Les mots de passe qui ont été dérobés par le pirate ont été cryptés avec MD5, ce qui les rend vulnérables étant donné que ce système de cryptage de données est facilement déchiffrable. Yahoo déclare être au courant de la déclaration du pirate qui prétend détenir des informations sur ses utilisateurs et assure prendre cette annonce très au sérieux tout en faisant le maximum pour préserver la sécurité de ses abonnés. La compagnie ajoute que son équipe de sécurité travaille à déterminer les faits et encourage les utilisateurs à composer des mots de passe robustes, mais aussi d’éviter d’utiliser les mêmes mots de passe pour différentes plateformes.
Le désormais célèbre pirate a fini de devenir une vraie référence pour d’autres hackers qui mettent également des données en vente sur le site TheRealDeal. En effet, certains d’entre eux déclarent s’inspirer de Peace_of_Mind pour la simple raison que l’exposition des forfaits de ce dernier à travers les médias a boosté ses ventes. Il paraitrait que Peace_of_Mind a fait plus de 50 000 dollars américains de ventes rien qu’avec les données qu’il avait exposées sur LinkedIn. Cette nouvelle forfaiture pourrait permettre au pirate d’engranger jusqu’à 100 000 dollars de ventes dans les prochains mois.
Source : Motherboard
Et vous ?
:fleche: Qu'en pensez-vous ?
Voir aussi
:fleche: Chine : dix membres de la plus grande communauté de hackers éthiques ont été arrêtés par la police, quelles sont les raisons ?
Vérifier si ton compte est compromis
Bonjour,
Tu peux vérifier à ce lien: https://haveibeenpwned.com/
1 pièce(s) jointe(s)
Yahoo confirme un vol de données concernant 500 millions de comptes
Yahoo confirme le piratage de plus d’un demi-milliard de comptes
la société attribue l’attaque à un groupe parrainé par un État
Au cours des derniers mois, les réseaux sociaux et d’autres opérateurs du web ont été alertés, alors qu’un hacker surnommé Peace s’est mis à vendre des bases de données d’utilisateurs sur le dark web. LinkedIn, MySpace, VK.com ou encore Yahoo étaient concernés. Plus de 800 millions de comptes de différents sites et services étaient sur le marché, dont 200 millions pour Yahoo uniquement.
Le piratage des comptes Yahoo datait de 2012 au moment de l’arrivée de Marissa Payer à la tête de la société de services internet. Cette même année, un groupe de hackers dénommé D33ds avait déclaré avoir réussi à pirater Yahoo, mais la société avait minimisé l’ampleur de l’attaque en évoquant seulement 400 000 comptes concernés.
Vendue pour 3 bitcoins (1800 $), la base de données piratée contenait entre autres, les noms d’utilisateurs, les dates de naissance, des mots de passe chiffrés, et parfois des adresses e-mail de récupération de compte, les pays d’origine et des codes postaux pour les utilisateurs américains.
Après avoir mené des investigations sur un éventuel piratage de son réseau, Yahoo vient de livrer ses conclusions. Au-delà de notre expectative, Yahoo reconnait un piratage d’une plus grande ampleur : le fournisseur de messagerie reconnait avoir été victime, en 2014, d’un piratage touchant plus de 500 millions de comptes. Mais dans un communiqué, la société de services internet soupçonne également que l’attaque ait été menée par des acteurs sponsorisés par un État : « Une enquête récente de Yahoo a confirmé qu'une copie de certaines informations de compte d'utilisateur a été volée dans le réseau de l'entreprise à la fin de 2014, par un acteur que nous croyons être parrainé par un État. Les informations de compte peuvent inclure des noms, des adresses e-mail, numéros de téléphone, dates de naissance, mots de passe hachés (la grande majorité avec bcrypt) et, dans certains cas, les questions et réponses de sécurité chiffrées ou non. »
D’après l'enquête en cours, les informations volées ne contiendraient pas les données de cartes de crédit ou autres informations de compte bancaire. Yahoo assure également que ces données ne sont pas stockées sur le système qui a été affecté. En ce qui concerne l’éventuel acteur parrainé par un État, la société ne donne aucune précision, mais sur la base de l’enquête, elle affirme que ce dernier ne serait pas actuellement dans le réseau de Yahoo.
Alors que Yahoo travaille avec la police sur cette question, le fournisseur de messagerie dit avoir notifié les personnes potentiellement affectées pour leur demander de changer rapidement leur mot de passe. Les questions et réponses de sécurité non chiffrées ont également été invalidées de sorte qu’elles ne puissent plus être utilisées pour accéder aux comptes. Entre autres mesures, tous les utilisateurs qui n’ont pas changé leur mot de passe depuis 2014 sont encouragés à le faire.
À l’ensemble des utilisateurs de Yahoo, la société demande de respecter des mesures de sécurité comme :
- changer les mots de passe, questions et réponses de sécurité pour tous les autres comptes pour lesquels vous avez utilisé des informations identiques ou similaires à celles utilisées pour votre compte Yahoo ;
- se méfier des communications non sollicitées dans lesquelles l'on vous demande des renseignements personnels ou vous réfère à une page web demandant des informations personnelles ;
- éviter de cliquer sur des liens ou de télécharger les pièces jointes d'e-mails suspects ;
- etc.
Source : Yahoo !
Et vous ?
:fleche: Pensez vous que le portail américain doit craindre une fin proche (inquiétude des utilisateurs / désintérêt des actionnaires de Verizon) ?
Voir aussi :
:fleche: Un pirate expose les données de plus de 200 millions d'utilisateurs de Yahoo sur le web obscur et les met en vente pour 3 bitcoins
Piratage de Yahoo : un utilisateur poursuit l'entreprise pour « négligence »
Piratage de Yahoo : un utilisateur poursuit l'entreprise pour « négligence »,
le rachat de Yahoo par Verizon pourrait en pâtir
Après avoir mené son enquête, Yahoo a reconnu avoir été la victime d’un piratage qui date de 2014 et concerne plus de 500 millions de comptes. Dans un communiqué, l’entreprise a évoqué une attaque par une entité sponsorisée par un État : « une enquête récente de Yahoo a confirmé qu'une copie de certaines informations de compte d'utilisateur a été volée dans le réseau de l'entreprise à la fin de 2014, par un acteur que nous croyons être parrainé par un État. Les informations de compte peuvent inclure des noms, des adresses e-mail, numéros de téléphone, dates de naissance, mots de passe hachés (la grande majorité avec bcrypt) et, dans certains cas, les questions et réponses de sécurité chiffrées ou non ».
Yahoo a fait son annonce jeudi 22 septembre. Mais le vendredi 23 septembre, le groupe a été poursuivi pour « négligence grave » par Ronald Schwartz, un résident de New York qui vise le statut de recours collectif qui va représenter tous les utilisateurs américains de Yahoo! affectés par le vol de leurs informations personnelles. Il entend réclamer des dommages et intérêts. Ses avocats ont déposé la plainte à San Jose (Californie), dans le même État que la maison mère de l’entreprise. À ses côtés, Schwartz à deux spécialistes des recours collectifs : les cabinets Robbins Geller Rudman & Dowd et Labaton Sucharow
La plainte suggère que Yahoo aurait pu éviter le piratage s’il avait renforcé ses mesures de sécurité étant donné qu’il avait déjà été la cible de pirates par le passé et n’a donc pas tenu à sa promesse de prendre « très au sérieux » la vie privée de ses utilisateurs : Yahoo a démontré de la « négligence à l'égard de la sécurité des informations personnelles de ses utilisateurs qu'il a promis de protéger ».
Schwartz reproche également à Yahoo d’avoir attendu près de deux mois pour faire un communiqué concernant la faille, ce qui est illégal dans 47 États aux Etats-Unis, qui requièrent que les entreprises qui ont été victimes d’un piratage le fassent savoir à leurs clients même si le délai varie d’un État à l’autre : certains demandent d’en informer les clients sur une période allant de 30 à 45 jours tandis que d’autres utilisent des termes plus généraux « aussitôt que ce sera utile » ou « sans délai déraisonnable ». Dans ces États, la période de notification peut être plus courte comme le montre un cas récent en Californie où l’avocat Aaron Tantleff, travaillant pour le compte de Foley and Lardner, a estimé que même deux semaines représentent un délai trop long.
Alors combien de temps a attendu Yahoo avant d’en informer ses utilisateurs ? Mais surtout pourquoi l’entreprise n’en a pas informé rapidement ses utilisateurs ? Une source proche de l’entreprise, qui a souhaité gardé l’anonymat, a affirmé ceci à propos du délai : « suite à un rapport plus tôt cet été (juillet 2016) d'un hacker qui a indiqué que 280 millions comptes utilisateurs sont en vente sur le marché noir, nous avons lancé une enquête interne et n’avons trouvé aucun éléments de preuve pour étayer les allégations du pirate. Après avoir terminé cette enquête, notre équipe de sécurité interne a continué de procéder à un examen plus large et plus profond de nos systèmes. Chemin faisant, elle a identifié des preuves du vol par un acteur parrainé par l'État qui a eu lieu en 2014 ». Cependant, même si cette affirmation s’avérait vérifiée, elle ne signifie pas nécessairement que Yahoo a respecté la loi.
Actuellement, Yahoo et Verizon ont négocié le rachat de l’ancienne gloire d’internet à hauteur de 4,8 milliards de dollars, rachat qui concerne l’acquisition du cœur de métier sur internet de Yahoo mais aussi plusieurs propriétés immobilières. Selon le spécialiste Dan Primack, cette poursuite pourrait bien affecter ce projet. La plus grosse menace à ce rachat se trouve dans un accord signé par les deux parties le 23 juillet 2016 qui avance que : « à la connaissance du vendeur, il n'y a pas eu d'incidents ou de réclamations de tiers alléguant, (i) atteintes à la sécurité : l'accès non autorisé ou utilisation non autorisée d’un des systèmes de technologie de l’information de l’une des filiales du vendeur ou (ii) la perte, le vol , l'accès non autorisé ou l'acquisition, la modification, la divulgation, la corruption ou toute autre utilisation abusive des données personnelles en possession du vendeur ou de l’une de ses filiales, ou d'autres données confidentielles détenues par le vendeur ou ses filiales (ou fournies au vendeur ou ses filiales par leur clients) en possession du vendeur ou de ses filiales, chaque cas (i) et (ii) pourrait raisonnablement avoir un effet défavorable important sur les affaires ».
Source : Fortune (recours collectif contre Yahoo), Fortune (analyse d'un paragraphe d'un accord signé entre Yahoo et Verizon)
Voir aussi :
:fleche: Verizon va bientôt racheter Yahoo! pour 4,8 milliards de dollars, l'entreprise va bénéficier du cœur d'activité dans les services en ligne de Yahoo!