Hlavní navigace

Obří hack služby Quora ohrozil data až 100 milionů uživatelů

Sdílet

David Slížek 4. 12. 2018

„V pátek jsme zjistili, že data některých našich uživatelů byla kompromitována útočníkem, který získal neoprávněný přístup do jednoho z našich systémů,“ oznámila na svém blogu služba Quora. Bezpečnostní incident se podle ní dotkl až 100 milionů uživatelů.

Útočník se mohl dostat v podstatě ke všem údajům, které uživatelé na službě Quora mají: k přihlašovacímu jménu, e-mailu, zahashovaným heslům či datům importovaným z připojených sociálních sítí (například kontaktům nebo demografickým údajům), kompletnímu obsahu, který na službe pod svým účtem zveřejnili, ale i například k obsahu neveřejných zpráv, pokud nějaké poslali.

Quora podle oznámení začala uživatele, které mohl únik zasáhnout, o problému informovat prostřednictvím e-mailu. Pokud k přihlášení používají heslo, Quora je odhlásila a heslo jim resetovala nebo je při pokusu o přihlášení k resetu vyzývá.

Uniklá hesla byla podle služby zahashována, Quora ovšem nezveřejnila, jakým algoritmem (pokud šlo například o starší MD5, mohou být hesla poměrně snadno odhalena).

Pokud uživatelé používali stejné přihlašovací údaje i na jiných službách (což by rozhodně neměli), měli by je okamžitě změnit i tam.

Quora je službou, kde lidé mohou klást různé otázky a jiní uživatelé na ně odpovídají.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 4. 12. 2018 8:26

    David Slížek

    To ano, ale zatím neřekli, jak konkrétně hesla hashovali. Pokud šlo o starší algorimtus, je možné, že se útočníci k heslům dostanou. A pokud uživatel používal stejné heslo na jiných službách, radši by je měl preventivně změnit.

  • 4. 12. 2018 8:48

    Nokrasatoto (neregistrovaný) 80.188.178.---

    Nikde jsem se nedocetl, co dělat když jsem se tam přihlašoval skrze účet Google? Pak by se uživatele nic týkat nemělo ne? Quora snad nemá uložena hesla i z Google ne?

  • 4. 12. 2018 9:01

    Filip Jirsák

    I pokud to byl starší algoritmus, útočníci se mohou dostat k heslům vybraných uživatelů, na které se zaměří. Protože musí zkoušet louskat hesla každého uživatele zvlášť.

    Ale pokud uživatel používal stejné heslo na jiných službách, měl by ta hesla radši změnit bez ohledu na to, zda už se o nějakém úniku hesel ví nebo neví. Když teda i v roce 2018 je pořád „bezpečnost“ prakticky celého webu založená na tom, že prohlížeč odesílá serveru hesla v otevřeném tvaru… Začít se změnou hesel alespoň od kritických a důležitých služeb, např. pro e-mail je bezpodmínečně nutné mít heslo, které není použité nikde jinde.

  • 4. 12. 2018 9:01

    fd (neregistrovaný) 2a01:8d00:4000:----:----:----:----:----

    Pokud nekdo pouziva stejne heslo na vice webech, tak si nic jineho nez minimalne smazani uctu nezaslouzi.

    A pouziti soli ziskani hesel maximalne zpomali, ale neznemozni. Ten cas mate prave na zmeny - pokud tedy dotycny provozovatel o uniku informuje.

  • 4. 12. 2018 8:22

    Eda (neregistrovaný) 77.87.241.---

    V e-mailu od Quory je napsano: "passwords were encrypted (hashed with a salt that varies for each user)" to znamená že i stejné heslo by mělo mít jiný hash než na ostatních službách. Takže změna hesla na ostatních serverech by neměla být nutná.