Še en dan, še ena kršitev podatkov, ki je prizadela stotine milijonov ljudi.


Quora na vprašanje, na katero spletno mesto z odgovori je vdrlo

Vzdih. Torej, kaj se je zdaj zgodilo?

Generalni direktor Quora, Adam D'Angelo, je sporočil, da je podjetje v petek odkrilo, da je "nekatere podatke uporabnikov ogrozila tretja oseba, ki je pridobila nepooblaščen dostop do enega od naših sistemov."

Doh!

Kdo ali kaj je Quora?

Quora je spletno mesto z vprašanji in odgovori, na katerem lahko obiskovalci postavijo vprašanja o skoraj vsem in prejemajo odgovore od drugih obiskovalcev.

Pridobil si je ugled glede kakovosti objavljenih odgovorov, kar ima za posledico neverjetnih 300 milijonov edinstvenih uporabnikov vsak mesec. Če želite to pogledati, se Twitter vsak mesec ponaša z 326 milijoni aktivnih uporabnikov.

Vprašanja (in ustrezni odgovori) segajo od ljubezenskih nasvetov in podrobnosti šifriranja, do predlogov receptov in v veliki meri pokrivajo celoten obseg človeških izkušenj.

Obiskovalci spletnega mesta so odločno potisnjeni k registraciji z uporabo svojih računov v družbenih medijih ali prek neposredne prijave. To pa ni potrebno in obiskovalci se lahko odločijo, da bodo na vprašanja in anonimno odgovarjali.

Kdo je odgovoren?

Krivec je neznan, čeprav Quora notranje varnostne ekipe preiskujejo zadevo. Quora je tudi »najela vodilno digitalno forenzično in varnostno podjetje, ki nam je pomagalo." Poleg tega je zadevo prijavila policiji.

Kako se je to zgodilo?

Preiskave še potekajo, vendar čeprav ni objavil nobenih podrobnosti, je D'Angelo dejal, da "verjamemo, da smo ugotovili osnovni vzrok in sprejeli ukrepe za reševanje težave."

Kdo je prizadet?

Kot nakazuje naslov tega članka, je prizadetih približno 100 milijonov registriranih uporabnikov Quora. Na srečo Quora ne zbira in ne hrani nobenih informacij o anonimnih sodelavcih, zato anonimnih uporabnikov kršitev ne vpliva..

Čeprav je skoraj enako priljubljen kot Twitter na papirju, Quora ni imela enakega kulturnega vpliva. Rezultat tega je, da ima veliko ljudi račun Quora, na katerega so popolnoma pozabili. To je še posebej nevarno, če podatke o prijavi ponovno uporabite na več spletnih mestih.

Kateri podatki so bili ukradeni?

Hekerji so ukradli vse podatke v zvezi z registriranimi računi. To vključuje popolne podatke o računu, kot so ime, e-poštni naslov in podatki, uvoženi iz povezanih računov družbenih medijev, kot sta Facebook in Google.

Vključuje tudi vsa vprašanja, odgovore, komentarje in nove objave, objavljene na spletnem mestu, ter vsebino in dejanja, ki niso javno objavljena, na primer zahteve za odgovore, sporočila in neposredna sporočila.

Gesla so bila ukradena, vendar v razburkani obliki. To postavlja vprašanje v višini 64 milijonov dolarjev: katera funkcija hash je bila uporabljena?

Hash funkcija je matematična formula, ki se lahko uporablja za šifriranje podatkov, kot so gesla. Težava je v tem, da so nekateri hashi veliko bolj varni kot drugi. MD5, na primer, brez soli, sploh ni zelo varen. bcrypt je veliko bolj varen, čeprav je morda še vedno mogoče razbiti posamezne šifre gesel, zavarovane z njim.

Quora ni natančneje opredelila funkcije hash, ki jo je uporabljala za zaščito gesel.

Kaj Quora dela za zaščito svojih uporabnikov?

Quora je prijavila vse uporabnike, na katere bi lahko vplivali njihovi računi, in razveljavila vsa gesla, ki se uporabljajo za zaščito računov. Quora bo ali kmalu o tem obvestil prizadete uporabnike.

Kaj lahko storite, da se zaščitite?

Kot smo že omenili, največjo nevarnost s to kršitvijo predstavljajo hekerji pri pridobivanju gesel, ki se uporabljajo na več spletnih mestih.

To se zgodi prepogosto, saj se običajno strašno spomnimo niti enega resnično varnega gesla (z uporabo dolgega niza mešanih črkovno-črkovnih znakov), kaj šele enega za vsako spletno mesto, ki ga uporabljamo.

Na srečo ima tehnologija odgovor! Upravitelj gesel pa ustvari močna gesla za vsako obiskano spletno mesto in ponavadi se sinhronizira v vseh vaših napravah, tako da so vedno na voljo za vas.

Vsaka aplikacija ali storitve upravitelja gesla so boljše kot nobene, vendar dajemo prednost odprtokodnim rešitvam, kot sta KeePass in Bitwarden.

Drug način, kako lahko zaustavite hekerje je uporaba VPN-ja. Tako bodo hekerji ustavili dostop do vaših podatkov, ko uporabljate javni WiFi, za več informacij pa si oglejte naš najboljši članek VPN.

Zaključek

Od tega obstajata dva odvzema. Prvo je, da se lahko vdrejo vsi podatki, shranjeni na osrednjem strežniku, in drugič, če podjetje, ki trdi drugače, zaskrbljujoče z resnico.

Drugi način je uporaba upravitelja gesel!

Kreditna slika: avtor chrisdorney / Shutterstock.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me