L’intrusion subie par Yahoo en août 2013 sur ses systèmes informatiques a en fait touché l’ensemble de ses comptes utilisateurs. Ce sont donc 3 milliards de comptes dont les données ont été volées, alors que le fournisseur pensait au départ qu'environ un tiers seulement d’entre eux avaient été touchés, soit environ un milliard de comptes utilisateurs. Yahoo vient d’adresser cette information à la SEC (Securities and exchange commission, l’agence de régulation boursière aux Etats-Unis). Cette extension du périmètre de l'intrusion a été découverte au cours de l’enquête que Yahoo a menée avec l’assistance d’experts scientifiques externes. Il ne s'agit donc pas d'une nouvelle attaque, mais toujours de celle perpétrée à l'été 2013.
Le 14 décembre 2016, Yahoo avait averti par mail le million d’utilisateurs qu’il pensait être concerné par le vol de données en leur demandant de changer leur mot de passe et de modifier leurs questions/réponses de sécurité. Il vient cette fois d’adresser une notification à tous les autres utilisateurs pour les informer qu’eux aussi ont été victimes de cette attaque. L’enquête a toutefois montré que les informations dérobées n’incluaient pas les mots de passe en clair, ni les données des cartes de paiement, ni les informations bancaires. Les investigations se poursuivent.
Un FAQ récapitulatif sur le site de Yahoo
Depuis son rachat par Verizon, Yahoo a été rapproché d’AOL et intégré dans une nouvelle société dénommée Oath. Sur le document transmis à la SEC, la CISO de Verizon, Chandra McMahon, précise que l’implication de son groupe dans Yahoo permet à ce dernier de continuer à renforcer sa sécurité de façon significative et à profiter des ressources de Verizon. Elle renouvelle aussi les engagements de transparence de son groupe. Sur son site, Yahoo a publié les réponses aux questions les plus fréquemment posées sur ce vol de données.