Les vulnérabilités du MD5 sont connues depuis longtemps, et son usage pour stocker des données cruciales est déconseillé depuis la fin des années 2000. Mais Yahoo! utilisait encore ce système en 2013, lorsqu’il a été piraté. En 2012, des hackers ayant réussi à voler des données à l’entreprise avaient même fait état de mots de passe conservés « en clair ».

[...]

Comme lors du précédent piratage en septembre, Yahoo! a découvert le vol de données après avoir été approchée par les forces de l’ordre, mais n’avait pas découvert l’intrusion elle-même. L’enquête a permis d’établir que ce deuxième piratage était le fait d’un groupe différent du premier

[...]

Yahoo! a également révélé ce 14 décembre que le premier piratage avait été encore plus grave qu’initialement annoncé. En plus des données de 500 millions de comptes, les pirates s’étaient emparés de code informatique utilisé par Yahoo! pour authentifier les connexions de ses utilisateurs. « D’après l’enquête en cours, nous pensons qu’un tiers non autorisé a utilisé ce code pour apprendre à falsifier des “cookies” », ces petits fichiers qui enregistrent des informations sur un utilisateur. L’entreprise laisse entendre, sans toutefois l’affirmer, que ce vol d’informations a pu permettre d’accéder, par le biais de ces cookies contrefaits, au contenu de boîtes e-mail de ses utilisateurs.