Affirmant vouloir rendre service à l'entreprise, des pirates informatiques ont récupéré et diffusé sur Internet les mots de passe de milliers d'utilisateurs. Un mois après LinkedIn, Yahoo ! est la nouvelle victime d'une fuite. Plus de 453.000 identifiants et mots de passe d'utilisateurs circulent sur Internet, à la suite d'une attaque touchant un service de Yahoo !. Les hackers, qui ont revendiqué l'attaque informatique, appartiennent à un groupe nommé « D33Ds Company ». Sur leur site hébergé en Ukraine, les pirates ont publié un fichier de 18 Mo, contenant 453.492 e-mails et mots de passe, selon le site spécialisé TrustedSec. Les mots de passe « étaient reliés à une grande variété d'adresses mail, incluant les adresses yahoo.com, gmail.com et aol.com », ajoute le site. Comment les pirates ont-ils pu accéder à autant de fichiers ? En exploitant apparemment une faille de sécurité. D'après les principaux intéressés, cités par le site Ars Technica, les données extraites étaient stockées sans cryptage. Pour mener à bien leur attaque, les hackers auraient simplement combiné plusieurs techniques d'injection SQL, c'est-à-dire en injectant dans la base de données de Yahoo ! plusieurs requêtes en langage SQL. Les requêtes servent à effectuer des opérations au sein d'une base de données. Pour les hackers, il ne s'agit pas d'une attaque néfaste, mais d'un service rendu : « Nous espérons que les personnes en charge de la sécurité dans ce sous-domaine vont considérer ce hacking comme une volonté de réveiller leur conscience et non pas comme une menace », affirment-ils sur leur site. « Il y a eu par le passé des publications de failles de données qui ont causé à Yahoo ! plus de dommages que notre publication. Ne les prenez pas à la légère », ajoute la D33Ds Company. Et d'ajouter, magnanimes : « Le nom du sous-domaine et les paramètres vulnérables n'ont pas été publiés afin de ne pas vous causer de dommages supplémentaires. »
