Başka bir gün, yüz milyonlarca insanı etkileyen başka bir veri ihlali.


Bir cevap web sitesinin saldırıya uğradığı soru

İç çekmek. Peki şimdi ne oldu?

Quora’nın CEO'su Adam D’Angelo, Cuma günü şirketin “bazı kullanıcı verilerinin, sistemlerimizden birine yetkisiz erişim kazanan üçüncü taraflarca ele geçirildiğini” keşfettiğini açıkladı.

Doh!

Kim veya ne Quora?

Quora, ziyaretçilerin neredeyse her şey hakkında soru sorabilecekleri ve diğer ziyaretçilerin cevaplarını alabilecekleri bir soru ve cevap web sitesidir..

Gönderilen cevapların kalitesi ile ün kazandı ve bu da her ay 300 milyon benzersiz kullanıcıya şaşırtıcı bir sonuç verdi. Bunu perspektif haline getirmek için Twitter her ay 326 milyon aktif kullanıcıya sahip.

Sorular (ve karşılık gelen cevaplar) aşk tavsiyesi ve şifreleme detaylarından reçete önerilerine kadar değişir ve insan deneyiminin hemen hemen tamamını kapsar.

Web sitesini ziyaret edenler, sosyal medya hesaplarını kullanarak veya doğrudan kaydolmak suretiyle kayıt işlemine sıkı sıkıya itilirler. Ancak bu gerekli değildir ve ziyaretçiler anonim olarak soru sormayı ve cevaplamayı seçebilir.

Sorumlu kim?

Her ne kadar Quora’nın iç güvenlik ekipleri konuyu araştırıyor olsa da suçlu bilinmiyor. Quora ayrıca “bize yardımcı olması için önde gelen bir dijital adli tıp ve güvenlik firması tuttu." Buna ek olarak, konuyu polise bildirdi.

Nasıl oldu?

Soruşturmalar devam ediyor, ancak herhangi bir ayrıntı yayınlamamış olsa da, D’Angelo, “temel nedeni belirlediğimize ve sorunu ele almak için adımlar attığımıza inanıyoruz.."

Kim etkilendi?

Bu makalenin başlığının da belirttiği gibi, yaklaşık 100 milyon kayıtlı Quora kullanıcısı etkileniyor. Neyse ki, Quora anonim katkıda bulunanlar hakkında herhangi bir bilgi toplamaz veya saklamaz, bu nedenle anonim kullanıcılar ihlalden etkilenmez.

Kağıt üzerinde Twitter kadar popüler olmasına rağmen, Quora aynı kültürel etkiye sahip değildi. Sonuç olarak, birçok kişi tamamen unuttukları bir Quora hesabına sahip olabilir. Bu, giriş bilgilerini birden çok web sitesinde yeniden kullanırsanız özellikle tehlikelidir.

Hangi veriler çalındı?

Bilgisayar korsanları kayıtlı hesaplarla ilgili tüm verileri çaldı. Bu, ad, e-posta adresi gibi tam hesap ayrıntılarını ve Facebook ve Google gibi bağlı sosyal medya hesaplarından içe aktarılan verileri içerir.

Ayrıca, web sitesinde herkese açık olarak yapılan tüm soruları, cevapları, yorumları ve upvotes ile yanıtlama istekleri, downvotes ve doğrudan mesajlar gibi herkese açık hale getirilmemiş içerik ve eylemleri de içerir..

Parolalar çalındı, ancak karma biçimde. Bu 64 milyon dolarlık bir soruyu ortaya koyuyor: hangi hash fonksiyonu kullanıldı?

Karma işlevi, parolalar gibi verileri şifrelemek için kullanılabilen matematiksel bir formüldür. Sorun şu ki, bazı karmalar diğerlerinden çok daha güvenlidir. Örneğin, tuz içermeyen MD5 çok güvenli değildir. bcrypt çok daha güvenlidir, ancak yine de güvenli parola karmalarını kırmak mümkün olabilir.

Quora, şifreleri korumak için kullandığı karma işlevini ayrıntılı olarak açıklamadı.

Quora kullanıcılarını korumak için ne yapıyor?

Quora, hesaplarından etkilenebilecek tüm kullanıcıları günlüğe kaydetti ve hesapları güvenceye almak için kullanılan tüm şifreleri geçersiz kıldı. Etkilenen kullanıcılar durum hakkında Quora tarafından bilgilendirilir veya yakında bildirilir.

Kendinizi korumak için ne yapabilirsiniz??

Daha önce de belirtildiği gibi, bu ihlalle ilgili en büyük tehlike, bilgisayar korsanlarının birden fazla web sitesinde kullanılan şifreleri edinmesidir.

Bu çok sık gerçekleşir, çünkü genellikle kullandığımız her web sitesi için bir tane bile olsa, gerçekten güvenli bir şifreyi (uzun bir karma alfasayısal karakter dizisi kullanarak) bile hatırlamaktan korkuyoruz.

Neyse ki, teknolojinin cevabı var! Bir şifre yöneticisi, ziyaret ettiğiniz her web sitesi için güçlü şifreler oluşturur ve genellikle sizin için her zaman kullanılabilir olduklarından emin olmak için tüm cihazlarınız arasında senkronize edilir..

Herhangi bir şifre yöneticisi uygulaması veya hizmeti hiç yoktan iyidir, ancak KeePass ve Bitwarden gibi açık kaynaklı çözümleri tercih ediyoruz.

Bilgisayar korsanlarını durdurmanın başka bir yolu da VPN kullanmaktır. Bu, genel WiFi kullanırken bilgisayar korsanlarının verilerinize erişmesini engeller, daha fazla bilgi için en iyi VPN makalemize bakın.

Sonuç

Bundan iki çıkarım var. Birincisi, merkezi bir sunucuda depolanan herhangi bir verinin saldırıya uğraması ve ikincisi, aksini söyleyen herhangi bir şirket veya hükümetin gerçekle endişe verici bir şekilde ekonomik olduğunu.

İkincisi bir şifre yöneticisi kullanmaktır!

Fotoğraf kredisi: chrisdorney tarafından / Shutterstock.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me