Une action faite pour alerter
En réalité, les données des utilisateurs récupérées proviennent du site Yahoo Voices, une application de voIP, pas très active en France mais beaucoup plus utilisée aux États-Unis. Nous n’avons pas beaucoup de détails concernant la méthode utilisée, mais il semblerait que les mots de passe stockés dans la base de données Yahoo n’étaient pas cryptés. Le groupe D33Ds Compagny, en a profité pour publier les données et ajouter un message personnel :
En espérant que les responsables de la gestion de la sécurité de ce sous-domaine prendront cela comme une alerte, et non comme une menace. Les nombreuses failles de sécurité qui ont été exploitées dans des serveurs appartenant à Yahoo, ont causé des dommages beaucoup plus grands que notre action. S’il vous plaît, ne prenez pas ceci à la légère. Le sous-domaine et les paramètres n’ont pas été affichés afin d’éviter d’autres dégâts.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
S’ayait les petit groupe de “hackeur” sont en vacances et se font chier donc commence à jouer en prenant les mots de passe des grosses compagnies. C’est de plus en plus réguliers ce genre d’attaque..
C’est un white hat, un hacker gentil si vous voulez. Maintenant il va proposé une solution à Yahoo et va travaillé la bas pendant la réparation, et la sécurisation :-). C’est comme sa qu’ils gagnent leur pain.
@auronis: “s’ayait”…. pour de bon ? tu peux m’expliquer d’où tu sors ce verbe ? je ne suis pas sûr que tu comprennes vraiment tout ce que tu lis pour écrire comme cela.
C’est hallucinant! je passe sur le reste…je n’en peux plus de rire.
foutre un lien vers la 3DS, dans “D33Ds Company”, je trouve ça très moyen. ça aide peut-être le référencement, mais c’est vraiment limite comme technique.
@bryan à mon avis c’est automatique…
quand même hallucinant d’encore stocker des mots de passes en clair… j’ose même pas imaginer le nombre de sites qui le font
@Zaelos : Non, ce ne sont pas des White Hats, il était absolument INUTILE de publier publiquement et clairement les mots de passe … Ca ne leur aurait rien couté de les censurer !
“C’est un white hat”
En gros j’ai piraté ton compte, je le met sur le net et je te dis fais attention la prochaine fois, et pendant ce temps, bah un petit larcin de 14 ans prend le mot de passe, a accés à des données sensible et voilà…….
Non mais franchement !
Fais un essai je te dis pas où, mais les mp de fb , hotmail etc………et connecte toi, tu comprendra que pour cerain c’est leur mails principal, avec compte en banque, assurance et j’en passe, bref de quoi détruire une vie alors le white hat je luis mettrais bien une bonne torgnole, il suffit qu’il prévienne yahoo et basta !
Je pense que c’est une autre couleur que le blanc… mais pas noire en tout cas.
Dire que je venais de changer mon mot de passe pour le sécuriser encore plus.
la liste pour vérifier quand même 🙂
https://d33ds.co/archive/yahoo-disclosure.txt
Ca commence à me saouler ces grosses boites qui se font hacker… Le pire c’est que c’est eux qui le provoquent…
MOT DE PASSE EN BDD = MOT DE PASSE HASHE, c’est quand même pas compliqué, merde ! Un budget de quelques millions de dollars et pas capable de faire md5(MOTDEPASSE)???
@Max : j’espère que tu ne sécurises pas ton site avec un simple md5…
Yahooooooo !!!!
C’est fou le nombre de bases de données qui ne sont même pas cryptées. Mais que gagnent les individus chargés de la gestion des données, parce qu’à ce niveau c’est vraiment de l’icompétence et du manque de respect des clients.
Pas un seul mdp qui fait plus de 8 caracteres dans ceux illustrés par l’image. Beaucoup trop de gens se contentent de voir afficher – Sécurité mdp: forte – pour choisir leur mdp. C’est pourtant pas la mort de retenir un mdp en 14 caracteres et plus.
Et si je me souviens bien, “love” fait parti des 30 mdp les plus utilisés, il semble que ce soit confirmé et pourtant l’échantillon vu est faible ^^
@icexplorer: bah c’est toujours mieux que le stocker en clair. C’est pas idéal, mais c’est le minimum. Je comprends pas l’interêt de ces sociétés à stocker le mot de passe en clair, peut-être que les admin veulent faire joujou dans les boîtes mail des gens, qui sait ? C’est juste la base, d’encrypter un minimum les mots de passe, c’est pas possible “d’oublier”, ou même de se dire que c’est inutile.
@icexplorer : Je disais MD5 comme ça moi… Evidemment il y a mieux, mais tout ça pour dire que c’est pas compliqué de faire au moins du MD5…
Et si je ne m’abuse, stocker des mots de passe en clair est illégal en France…