Avez-vous reçu hier soir un courriel de Formspring demandant un changement de mot de passe ? Ce n’était pas le seul : le réseau social de questions et réponses qui a connu un certain succès il y a quelque temps et dont personne ne se souvient aujourd’hui a vu ses serveurs piratés et 420 000 mots de passe divulgués dans un forum. Cet échec est similaire à celui de LinkedIn qui s’est produit le mois dernier, lorsque 6,5 millions de mots de passe ont été consultés sans autorisation.
Le service, créé en 2009, compte 28 millions d’utilisateurs enregistrés. Leannonce faite dans le blog officiel de Formspring indique que seuls les hashs de mots de passe ont fui, ce qui rend la découverte de la combinaison originale plus difficile, mais pas impossible. Dès que les ingénieurs ont eu accès au fichier, une enquête a été lancée pour trouver la cause du problème et les serveurs ont été interrompus pour éviter de nouvelles fuites.
Selon le communiqué, un pirate informatique a réussi à pirater l’un des serveurs de développement de Formspring et a utilisé les informations trouvées pour accéder à une base de données de production. Les responsables du service disent qu’ils prennent la question “très au sérieux” et qu’ils revoient leurs pratiques de sécurité pour “s’assurer que cela ne se reproduira plus jamais”.
Les systèmes ont été mis à jour pour renforcer les mots de passe : toutes les combinaisons sont désormais stockées avec le hachage SHA-256 et le cryptage bcrypt. Il est recommandé de changer vos mots de passe si vous utilisez la même combinaison Formspring dans d’autres services.