Discussion :

[Hinault Romaric]

Yahoo hacké par injection SQL
les identifiants de 453 000 comptes divulgués

Un sous domaine de Yahoo a été hacké, et le site a retrouvé une liste des informations personnelles des utilisateurs publiée sur internet.

Un groupe de hackers se faisant appeler "the D33Ds Company" a divulgué récemment les identifiants de près de 453 000 comptes Yahoo, qui auraient été volés à partir d’une base de données associée à un service de Yahoo.

Les hackers ont piraté la base de données de Yahoo en exploitant une vulnérabilité du service pour procéder à une injection SQL.

« Nous espérons que les responsables de la sécurité de ce sous domaine prendront cela comme un signal de réveil et non une menace » écrit le groupe dans le fichier contenant les informations dérobées, qui affirme ne pas avoir publié le nom du sous domaine et les paramètres ayant permis l’attaque afin d’éviter d’autres dommages.

Le service touché par cette attaque serait Yahoo Voice, la solution de VoIP de la firme qui ne serait pas utilisée uniquement par les possesseurs d’un compte Yahoo. Les comptes des domaines gmail.com, hotmail.com et aol.com figureraient également dans la liste.

L’information a été confirmée par Yahoo, qui explique qu’il s’agit d’une vieille base de données rattachée à son portail « Contributor Network ». La société a immédiatement fixé la vulnérabilité, et les comptes affectés recevront un message les invitant à changer leurs paramètres de connexion.

Le cabinet de sécurité SucuriMalware Lab propose également un formulaire dans lequel il vous suffit d’entrer votre adresse mail pour recevoir automatiquement un message vous informant si votre compte figure ou non dans cette liste.

Pour la petite histoire, le mot de passe « 123456 » était le plus utilisé (près de 1666 comptes), suivi par « password » (utilisé par environ 1373 personnes parmi les comptes dérobés), ainsi que « welcome » et « ninja ».


Source : Blog Eset

[MiaowZedong]

Qu'est-ce-qu'on dit déjà sur les vieilles casseroles?

Enfin, dans ce cas ce serait plutot les vieilles recettes

[AlbertSY]

Comme quoi même chez Yahoo! ils prennent des stagiaires pour confectionner leurs outils.
Tu t'étonnes qu'ils n'arrivent plus à innover.

A prendre au second degré.
Puisque les plus grandes firmes (dont Yahoo!) en technos ont été fondées par des mecs alors qu'ils étaient encore étudiants (pas des stagiaires, et re-paf )

[sevyc64]

Heu, comprend pas, les mots de passe étaient stockés en clair ?

Ca doit pourtant faire plus de 10 ans que l'on dit qui ne faut pas stocker les mots de passe en clair.

Mais bon, quand on voit que dans certaines écoles, même dans les cours de sécurité, cette notion semble passée sous silence...

[AlbertSY]

Heu, comprend pas, les mots de passe étaient stockés en clair ?

Ca doit pourtant faire plus de 10 ans que l'on dit qui ne faut pas stocker les mots de passe en clair.

Mais bon, quand on voit que dans certaines écoles, même dans les cours de sécurité, cette notion semble passée sous silence...

Que ce soit en clair ou pas, ca ne change rien. Il parait que les algos de chiffrements ou cryptages autorisés (les algos non officiels au US sont interdits, ils ne rigolent pas là-bas) comportent tous des backdoors. Pour des raisons de sécurités nationales il parait.
Mais bon, dans le cas actuel, la méthode du dictionnaire suffisait (quand on sait que cela marche pour au moins 70% des cas quand il n'y a pas de restriction sur les mots de passe). Ici en occurence '123456', 'password' ... étaient possible.

[MiaowZedong]

Heu, comprend pas, les mots de passe étaient stockés en clair ?

Ca doit pourtant faire plus de 10 ans que l'on dit qui ne faut pas stocker les mots de passe en clair.

Mais bon, quand on voit que dans certaines écoles, même dans les cours de sécurité, cette notion semble passée sous silence...

Même la plus pourrave des rainbow tables, pour le plus pointus des algo de hash, contient des valeurs pour 123456, password, ou welcome.

[transgohan]

Le service incriminé qu'ils annoncent n'est pas celui en rapport avec la base de données...
J'ai reçu ce joli email de yahoo et je n'ai jamais utilisé de VOIP chez eux... A moins que Microsoft ai vendu Skype à Yahoo ?
Je n'ai chez yahoo qu'une simple boite email (qui sert plus pour les spams qu'autre chose à vrai dire...), je n'ai jamais rien utilisé d'autre...

[Invité]

Je trouve ça choquant que des attaques par injection SQL soit encore possible en 2012 !!!

Je ne préfère même pas penser au reste du code, et ne suis pas prêt d'utiliser un service Yahoo

[transgohan]

Je trouve ça choquant que des attaques par injection SQL soit encore possible en 2012 !!!

Je ne préfère même pas penser au reste du code, et ne suis pas prêt d'utiliser un service Yahoo

C'est pas une question d'années qui passent depuis la première attaque de ce type.
Les projets grossissent au fil des années justement, et plus on rajoute plus on peut potentiellement créer des failles. Ils faut donc à chaque modification refaire toute une batterie de test. Or c'est rarement fait car cela coûte cher. Donc on teste le minimum quand ce n'est pas une application critique (à savoir faut que ça fonctionne et point barre) et voilà !
Et je parle même pas des projets qui sont fait de A à Z et qui ne subissent pas de tests dans leur cycle de vie... On préfère les balancer chez l'utilisateur et attendre les remontées de bug. (j'ai vécu cette situation... Je ne sais même pas comment ils peuvent être rentable.)

[MiaowZedong]

C'est surtout qu'il faut mesurer le risque que prend l'entreprise dans ces histoires. A priori, ceux qui risquent quelque chose sont plutot les utilisateurs, du coup l'entreprise n'a pas forcément intérêt à dépenser de l'argent pour sécuriser son service.

Un peu comme si Renault pouvait vendre des voitures sans avoir de normes de sécurité à respecter, vous imaginez le nombre de morts? Là, ce ne sont certes pas des vies humaines en jeu (heureusement) mais il faudra peut-être rendre les entreprises plus responsables.

[Hellwing]

Un groupe de hackers se faisant appeler "the D33Ds Company" a divulgué récemment les identifiants de près de 453 000 comptes Yahoo, qui auraient été volés à partir d’une base de données associée à un service de Yahoo.

[...]

« Nous espérons que les responsables de la sécurité de ce sous domaine prendront cela comme un signal de réveil et non une menace »

Il n'y a que moi que ça choque ?

Je traduis : "On a divulgué des comptes, mais c'est juste pour vous prévenir que vous avez une grosse faille dans votre système ! On est gentils !"

[transgohan]

Il n'y a que moi que ça choque ?

Je traduis : "On a divulgué des comptes, mais c'est juste pour vous prévenir que vous avez une grosse faille dans votre système ! On est gentils !"

C'est en faisant des choses qui obligent les entreprises à se bouger le fion qu'on les fait bouger. Tu penses sérieusement qu'en leur envoyant par email ils auraient réagis aussi vite ?
Certaines entreprises mettent des mois à corriger des failles qui ne sont pas encore connues du public en pensant justement qu'ils ont tout le temps de le faire.

[Hellwing]

Je sais bien, mais là c'est leur hypocrisie qui me choque. Au moins qu'ils assument la mise en danger de tous ces comptes, plutôt que de dire "Faut pas le prendre mal !".

C'est plus leur attitude vis-à-vis de leurs actes que les actes en eux-même que je critiquais.

[Crazyfaboo]

S'ils avaient voulu être méchants, ils auraient :

• rien dit du tout
• fait de l'extorsion en exploitant toute la db
• tentés de corrompre un maximum de systèmes à partir de cette faille
• détruit un max de données
• et plus encore...

donc oui, ils ont été gentils je trouve.
D'autant plus que la divulgation des 423000 comptes, c'est pas grand chose, c'est très certainement un identifiant type email (public) et un mot de passé hashé (ou sinon, c'est vraiment qu'ils ont fait n'importe quoi chez Yahoo! mais ça m'étonnerait). Donc mis à part les gars qui semblaient s'en foutre en mettant "123456" comme mot de passe (ou similaire), qui se trouve effectivement imméditament via une rainbow table, peu de comptes sont réellement impactés immédiatement par cette liste.

Et je rejoins transgohan sur le fait que c'est uniquement par ce genre d'action que les compagnies se bougent pour corriger les failles de sécurités. Lorsque Stuxnet est apparu au grand jour, il exploitait 7 failles 0-day et la plupart étaient connues depuis longtemps par Microsoft.
Personnellement, j'ai trouvé une faille de sécurité (de conf) sur OVH en Février (2012) et après un mois d'échange de mails avec l'assistance technique, je suis certain que la faille n'a toujours pas été corrigée...

Je sais bien, mais là c'est leur hypocrisie qui me choque. Au moins qu'ils assument la mise en danger de tous ces comptes, plutôt que de dire "Faut pas le prendre mal !".

C'est plus leur attitude vis-à-vis de leurs actes que les actes en eux-même que je critiquais.

[leminipouce]

Je sais bien, mais là c'est leur hypocrisie qui me choque. Au moins qu'ils assument la mise en danger de tous ces comptes, plutôt que de dire "Faut pas le prendre mal !".

C'est plus leur attitude vis-à-vis de leurs actes que les actes en eux-même que je critiquais.

Quelle mise en danger ?
Ils ont divulgués les comptes, pas les mots de passe en clair. Rien ne dit d'ailleurs qu'ils aient les dit mot de passe, car en effet, toutes les infos présentes dans la news peuvent s'obtenir en n'ayant récupéré que les hash.

La dernière fois que j'ai vu une divulgation de ce type, avant la divulgation, tous les hash avaient même été modifié. De mémoire les 6 premiers caractères étaient tous identiques.

Bref, pour moi c'est là le travail de hackers, au sens originel et donc "noble" du terme, à savoir : trouver et identifier des failles.

Sans la divulgation publique de cette news, est-ce que Yahoo! prendrait au sérieux l'annonce ? Changerait quelque chose dans leur système ? ... je doute...

[GR3lh442kR]

ça m'étonne pas

j'ai un collègue qui ne sait même pas ce qu'est une injection sql alors qu'on travaille sur le site web d'une société qui gère des comptes client...

Quand je lui en parle il me dit "mon prof m'en à parlé mais n'as pas voulu nous expliqué pour pas qu'on puisse en faire...". Il ne doit pas être le seul dans ce cas, mes autres collègues ne semblent pas être beaucoup plus formé que lui pour la sécurité.

[sevyc64]

Ce n'est pas la première fois que je constate auprès de jeunes sortant de formation que les notions de sécurités ne sont pas abordées, au mieux parfois simplement vaguement évoquées. Et ce pas uniquement dans le domaine du développement web.
On peut aussi citer les notions de débogage de code qui n'est pas enseigner, mais c'est un autre débat.

Dans un tout autre domaine, perso, je suis actuellement une formation au cnam pour avoir une certification en administration réseau, le module relatif à la sécurité système et réseau, pourtant existant, ne fait même pas partie de mon cursus, alors qu'il est dans d'autres cursus plus généralistes.

[FailMan]

Dans un tout autre domaine, perso, je suis actuellement une formation au cnam pour avoir une certification en administration réseau, le module relatif à la sécurité système et réseau, pourtant existant, ne fait même pas partie de mon cursus, alors qu'il est dans d'autres cursus plus généralistes.

Je suis également en train de suivre cette formation liée au CNAM.

Mon établissement propose ce module de sécurité réseau cependant c'est assez limité, on ne fait réellement que de voir ce qu'est un firewall, et l'on apprend des choses assez basiques comme avoir un mot de passe d'une longueur et complexité suffisante, ou encore n'ouvrir et les ports et droits qu'aux bons utilisateurs, etc. etc.

Rien de réellement techniques comme les injections SQL par exemple dont il est question dans cette affaire.

[sevyc64]

Je suis également en train de suivre cette formation liée au CNAM.

Mon établissement propose ce module de sécurité réseau cependant c'est assez limité, on ne fait réellement que de voir ce qu'est un firewall, et l'on apprend des choses assez basiques comme avoir un mot de passe d'une longueur et complexité suffisante, ou encore n'ouvrir et les ports et droits qu'aux bons utilisateurs, etc. etc.

Rien de réellement techniques comme les injections SQL par exemple dont il est question dans cette affaire.

RSX112 ?
Si c'est ça, c'est pas la peine que je le prenne en supplément alors.

[happyboon]

ça me surprend de voir que des gens utilisent toujours des mots de passe comme 123456