D'après un chercheur en sécurité, Yahoo a été victime d'une attaque exploitant Shellshock, une faille critique récemment découverte dans l'interpréteur de commandes Bash. Selon Jonathan Hall, des malandrins ont pu infiltrer les serveurs de Yahoo Sport.
Le portail web a confirmé dans un premier temps à CNET qu'une poignée de ses serveurs avaient été hackés par l'intermédiaire de la faille de Bash, puis s'est rétracté. Alex Stamos, responsable de la sécurité des systèmes d'information de Yahoo, a indiqué après coup que les serveurs en question n'étaient pas vulnérables à Shellshock. Stamos indique que l'intrusion a pu être menée en tirant parti d'une autre faille. Et d'indiquer que les données des utilisateurs n'ont a priori pas été subtilisées.
Pour sa part, Jonathan Hall soutient toujours que l'attaque a été perpétrée avec la faille de Bash. D'après lui, il pouvait s'agir d'une variante de Shellshock. À la suite de la découverte de la vulnérabilité CVE-2014-6271, d'autres du même type ont été mises en lumière.
Le chercheur en sécurité a également rapporté que le portail Lycos et le site de WinZip avaient subi une attaque Shellshock. WinZip a fait savoir que les données des utilisateurs n'ont pas été compromises et qu'un patch allait être appliqué.
