Hackers han comprometido datos de 100 millones de usuarios de la web de preguntas y respuestas Quora.com.

Las malas noticias llegaron en forma de correo electrónico a los usuarios afectados (se estima que la mitad de sus 200 millones de usuarios) y a través de un anuncio público realizado el lunes en su web.

La empresa descubrió la filtración el pasado 30 de noviembre, encontrando  que “se comprometieron datos por terceros que consiguieron acceder a su sistema” escribió el CEO de Quora, Adam D’Angelo.

Los datos a los que se accedió incluyen nombre, email y contraseñas cifradas (hashed) y cualquier dato importado de redes enlazadas autorizadas por los usuarios.

También “contenido no publico y acciones, por ejemplo peticiones de respuestas, votos negativos o mensajes directos”, aunque la empresa cree que solo un pequeño porcentaje de usuarios tenían esos datos en sus cuentas.

Además, los ciberdelincuentes obtuvieron todas las preguntas, respuestas y votos positivos de los usuarios, aunque esto estuviese disponible públicamente en la propia web.

No están afectados los usuarios que publicaron anónimamente, ya que Quora no almacena estos datos.

¿Qué hacer?

Si eres uno de los 100 millones, la empresa te desconectará y te pedirá que cambies la contraseña la próxima vez que utilices esa web.

Incluso si eres un usuario al que Quora no le ha pedido que cambie la contraseña, es una buena idea hacerlo, aunque seas uno de los muchos usuarios que ha olvidado que se había dado de alta en algún momento del pasado.

¿Qué está haciendo Quora para que no ocurra algo similar en el futuro?

»Creemos que hemos encontrado la causa raíz del problema y hemos tomado las decisiones necesarias para solucionar el asunto, aunque continuamos investigando y mejoraremos la seguridad».

Las contraseñas importan

Como en cualquier otra filtración de datos, el problema oculto es que pueden hacer los ciberdelincuentes con los datos que robaron la semana pasada.

La preocupación no son únicamente las propias cuentas comprometidas de Quora, si no también que algunas contraseñas pudieron ser reutilizadas en otras webs. Sobre este punto lo importante es saber cuándo se produjo la filtración y el tiempo que transcurrió antes de ser detectada.

Quora dice que las contraseñas estaban “cifradas”. Esperamos que esto signifique que pasaron un proceso de hashing y simplemente escogieron una palabra que gente pueda reconocer más fácilmente como segura.

Lo que no nos han dicho es qué tipo de función hashing han utilizado, ni en el salting. Estos detalles pueden marcar la diferencia.

Si la empresa utilizó el obsoleto MD5 o SHA-1, no son buenas noticias. Si han utilizado bcrypt o scrypt de una forma adecuada, requeriría un esfuerzo mucho mayor el poder craquear las contraseñas.

Como muestra de las diferencias, recuerda lo que paso cuando los expertos intentaron craquear las contraseñas expuestas en el caso de Ashley Madison.

El anuncio de Quora significa la tercera gran filtración de datos de la semana, tras Marriot (con 500 millones de cuentas afectadas) y Dell (cuyo tamaño aun desconocemos).