Yahoo aurait confirmé une violation massive des données

Suite à des informations selon lesquelles Yahoo confirmerait une violation de données qui affecte des centaines de millions de comptes, certains utilisateurs ont signalé jeudi sur Twitter et ailleurs qu'ils avaient été invités à modifier leur mot de passe de messagerie lorsqu'ils tentaient de se connecter..

Yahoo a lancé une enquête sur une éventuelle violation au début du mois d'août après que quelqu'un a proposé de vendre un fichier de données de plus de 200 millions de comptes Yahoo sur un marché clandestin, y compris des noms d'utilisateur, des hachages de mot de passe faciles à déchiffrer, des dates de naissance et des adresses e-mail de sauvegarde..

La société a depuis déterminé que la violation était réelle et qu'elle était encore pire que ce que l'on pensait initialement, a rapporté jeudi le site d'information Recode, citant des sources anonymes connaissant bien l'enquête..

Alors que Yahoo n'a pas encore fait d'annonce et n'a pas immédiatement répondu à une demande de commentaire, la société a invité certains utilisateurs à réinitialiser leurs mots de passe au cours des dernières 24 heures en raison d'une "activité suspecte" sur leurs comptes..

L'invite à réinitialiser les mots de passe peut ne pas être directement liée à la violation de données signalée. Mais une confirmation de la violation maintenant, plus d'un mois et demi après la mise en vente des données, suscitera probablement des questions sur les raisons pour lesquelles la société a attendu si longtemps avant de forcer les utilisateurs à modifier leurs mots de passe..

PLUS SUR NETWORK WORLD: 6 astuces simples pour protéger vos mots de passe

"S'il était vraiment disponible à l'époque et que Yahoo ne le confirme que maintenant, je serais vraiment intéressé par la raison pour laquelle le délai a été si long", a déclaré Troy Hunt, un chercheur en sécurité qui dirige le site Web de notification de violation de données. Ai-je été pwned?.

L'utilisateur qui a publié les données du compte Yahoo sur un site Web clandestin utilise le handle en ligne peace_of_mind et est un vendeur bien connu d'informations volées. Il a déjà mis en vente des millions d'enregistrements de compte depuis MySpace, LinkedIn, Tumblr et d'autres sites Web et, pour la plupart, ces violations ont été confirmées même si elles s'étaient effectivement produites des années plus tôt.

"Nous avons vu LinkedIn, MySpace et tumblr [décharges de données] datant de plusieurs années, mais apparaissant juste en vente maintenant, alors Yahoo peut être cohérent avec cela", a déclaré Hunt par e-mail.

Compte tenu des antécédents de Peace, le chercheur a déclaré qu'il n'aurait pas été surpris que les données aient été mises en vente le mois dernier si elles s'avéraient authentiques, même si certaines personnes se demandaient si Peace disposait réellement des informations à ce moment-là..

Il est étrange que personne n'ait réussi à obtenir une copie de l'ensemble de données jusqu'à présent et ait confirmé son authenticité, du moins pas publiquement, d'autant plus que la paix est connue pour baisser son prix au fil du temps. Hunt pense que si ce vidage de données suit le même schéma que les autres, il apparaîtra bientôt dans le domaine public et il pourra l'ajouter à Ai-je été pwned.

Une confirmation de la violation de données cette semaine viendrait alors que la vente de 4,8 milliards de dollars de Yahoo de ses principales activités Internet à Verizon est en cours de finalisation; l'accord doit encore être approuvé par les régulateurs.

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.