Non seulement Yahoo a dû confirmer le piratage massif de près de 500 millions de comptes en septembre dernier, puis celui de un milliard cette semaine, mais les données subtilisées par les hackers ont été mises en vente sur la toile. Enfin, dans sa partie la plus obscure.
Le New York Times rapporte ainsi qu’en août dernier, une base de données d’un milliard d’utilisateurs a été proposée à la vente sur le dark web pour 300 000 dollars. Le responsable du bureau du renseignement de la firme de sécurité InfoArmor, Andrew Komarov, explique au quotidien que trois acheteurs, dont deux éminents spammers et un autre qui semble être une agence de renseignement étrangère selon Komarov, ont acheté la base de données en question à un groupe de hackers basé en Europe de l’Est.
Deux piratages massifs et des données mises en vente
300 000 dollars pour une base de données d’un milliard de comptes et données personnelles, c’est seulement 0.0003 dollars par compte. Ce qui n’est vraiment pas cher payé au regard de son potentiel destructeur pour les utilisateurs piratés. Depuis, le prix de vente de la base de données est tombée à 20 000 dollars.
Avec de telles données – noms, prénoms, adresses électroniques, numéro de téléphone, date de naissance, questions et réponses de sécurité chiffrées ou non ainsi que mots de passe hachés – les pirates peuvent espérer accéder à d’autres comptes, mener des campagnes de phishing (hameçonnage), et récupérer assez d’informations pour usurper l’identité de certains utilisateurs ou accéder à leurs données bancaires.
Par ailleurs, Kamorov a également affirmé à Bloomberg que les données de 150 000 employés du gouvernement américain et de l’armée se retrouvaient dans cette base de données. Avec tous les risques pour la sécurité nationale que cela implique en cas d’attaque ciblée.
Yahoo n’a pas commenté ces nouvelles informations. En août dernier, un hacker du nom de Peace expliquait mettre à disposition sur le marché noir les informations d’identification de 200 millions d’utilisateurs Yahoo pour 3 bitcoins (soit un peu plus de 2 200 euros environ selon le cours actuel). Ces données dateraient d’un piratage perpétré en 2012.