Quora admite una filtración que afecta a 100 millones de cuentas

17 diciembre, 2018
13 Compartido 2,065 Visualizaciones

Hackers han comprometido datos de 100 millones de usuarios de la web de preguntas y respuestas Quora.com.

Las malas noticias llegaron en forma de correo electrónico a los usuarios afectados (se estima que la mitad de sus 200 millones de usuarios) y a través de un anuncio público realizado el lunes en su web.

La empresa descubrió la filtración el pasado 30 de noviembre, encontrando  que “se comprometieron datos por terceros que consiguieron acceder a su sistema” escribió el CEO de Quora, Adam D’Angelo.

Los datos a los que se accedió incluyen nombre, email y contraseñas cifradas (hashed) y cualquier dato importado de redes enlazadas autorizadas por los usuarios.

También “contenido no publico y acciones, por ejemplo peticiones de respuestas, votos negativos o mensajes directos”, aunque la empresa cree que solo un pequeño porcentaje de usuarios tenían esos datos en sus cuentas.

Además, los ciberdelincuentes obtuvieron todas las preguntas, respuestas y votos positivos de los usuarios, aunque esto estuviese disponible públicamente en la propia web.

No están afectados los usuarios que publicaron anónimamente, ya que Quora no almacena estos datos.

¿Qué hacer?

Si eres uno de los 100 millones, la empresa te desconectará y te pedirá que cambies la contraseña la próxima vez que utilices esa web.

Incluso si eres un usuario al que Quora no le ha pedido que cambie la contraseña, es una buena idea hacerlo, aunque seas uno de los muchos usuarios que ha olvidado que se había dado de alta en algún momento del pasado.

¿Qué está haciendo Quora para que no ocurra algo similar en el futuro?

»Creemos que hemos encontrado la causa raíz del problema y hemos tomado las decisiones necesarias para solucionar el asunto, aunque continuamos investigando y mejoraremos la seguridad».

Las contraseñas importan

Como en cualquier otra filtración de datos, el problema oculto es que pueden hacer los ciberdelincuentes con los datos que robaron la semana pasada.

La preocupación no son únicamente las propias cuentas comprometidas de Quora, si no también que algunas contraseñas pudieron ser reutilizadas en otras webs. Sobre este punto lo importante es saber cuándo se produjo la filtración y el tiempo que transcurrió antes de ser detectada.

Quora dice que las contraseñas estaban “cifradas”. Esperamos que esto signifique que pasaron un proceso de hashing y simplemente escogieron una palabra que gente pueda reconocer más fácilmente como segura.

Lo que no nos han dicho es qué tipo de función hashing han utilizado, ni en el salting. Estos detalles pueden marcar la diferencia.

Si la empresa utilizó el obsoleto MD5 o SHA-1, no son buenas noticias. Si han utilizado bcrypt o scrypt de una forma adecuada, requeriría un esfuerzo mucho mayor el poder craquear las contraseñas.

Como muestra de las diferencias, recuerda lo que paso cuando los expertos intentaron craquear las contraseñas expuestas en el caso de Ashley Madison.

El anuncio de Quora significa la tercera gran filtración de datos de la semana, tras Marriot (con 500 millones de cuentas afectadas) y Dell (cuyo tamaño aun desconocemos).

Te podría interesar

Cyberpedia: Qué es el Phishing Car y cómo evitar esta y otras estafas en la compraventa de segunda mano
Cyberpedia
13 compartido1,272 visualizaciones
Cyberpedia
13 compartido1,272 visualizaciones

Cyberpedia: Qué es el Phishing Car y cómo evitar esta y otras estafas en la compraventa de segunda mano

Vicente Ramírez - 25 abril, 2019

Las estafas en internet son delitos que acumulan cada vez más afectados, y con el crecimiento del mercado de coches…

8 consejos de ciberseguridad para el Black Friday y el Cyber Monday
Actualidad
27 compartido1,460 visualizaciones
Actualidad
27 compartido1,460 visualizaciones

8 consejos de ciberseguridad para el Black Friday y el Cyber Monday

Vicente Ramírez - 22 noviembre, 2018

Ricardo Maté, director general de Sophos Iberia Todos los días son “Black”, no solo este “Friday”. No hay medidas especiales…

WPA3, todas las claves para entender el cambio
Actualidad
339 visualizaciones
Actualidad
339 visualizaciones

WPA3, todas las claves para entender el cambio

José Luis - 22 enero, 2018

El WPA3 ocupará este año el espacio dejado por el vulnerable WPA2 en millones de redes inalámbricas. El 16 de…

Deje un comentario

Su email no será publicado