Взлом Quora спровоцировал утечку личных данных 100 млн. пользователей

3-го декабря, вечером, стало известно, что Quora — всемирно популярный сервис обмена знаниями, работающий по системе вопросов и ответов — был взломан. Несмотря на то, что администрация Quora заявила о взломе в понедельник, внутренняя команда специалистов данного сервиса обнаружила проникновение в свои системы ещё в прошлую пятницу — 30-го ноября. По предварительным данным, в результате взлома, третьим лицам стала доступна личная информация около 100 млн. пользователей. В своём уведомлении о безопасности администрация Quora поясняет:

«В пятницу, мы обнаружили, что некоторые личные данные наших пользователей стали доступны третьим лицам, которые получили неавторизированный доступ к нашим системам. Наша внутренняя команда специалистов по безопасности проводит расследование событий, которые послужили утечке информации. В добавок, мы прибегли к услугам ведущей фирмы, специализирующейся на криминалистике и безопасности, которая будет нам ассистировать в данном вопросе. Также, мы уведомили правоохранительные органы о случившимся инциденте.»

 

Какая информация стала доступна хакерам?

  • Учётные данные (напр., имя, адрес email, зашифрованный пароль, передаваемые при авторизации данные из соцсетей)
  • Публичные контент и действия (напр., вопросы, ответы, комментарии, отданные голоса)
  • Личные контент и действия (напр, запросы на ответ, негативные оценки, личные сообщения, IP-адреса)

 

По заявлениям Quora, сервис хранит пользовательские пароли в виде соли и хешей, однако, риск взлома этих зашифрованных данных достаточно велик.

Администрация Quora массово уведомляет своих пользователей по email о случившийся утечке информации, где настоятельно рекомендует сбросить пароль учётной записи. Также, если вы использовали тот же пароль, что и для Quora, для других онлайн-сервисов и сайтов, Quora рекомендует его сменить на другой.

Несмотря на то, что Quora входит в сотню самых крупных сайтов мира, а количество посетителей может достигать 700 млн. посещений в день, сервис не предоставляет своим пользователям возможность использования двухфакторной аутентификации для входа в учётную запись. В то время, как интернет-гиганты в лице Google, Microsoft, Facebook, и многих других, уже давно поощряют своих пользователей защищать свои данные при помощи средств многофакторной аутентификации — одноразовых паролей и аппаратных ключей безопасности. При использовании данных средств обеспечения безопасности, даже украденный пароль не поставит ваши учётные записи под угрозу доступа к ним третьими лицами.