Google a trouvé un moyen de générer des collisions de hash SHA-1, et donc de générer deux documents différents avec des hash identiques.

Ce n'est pas une faille dans l'algorithme, mais plus sa relative faiblesse qui rend cette attaque plus efficace qu'un simple bruteforce (inenvisageable aujourd'hui).

Bref, pour vos hash, utilisez SHA-256 dit Google.