Quora admite una filtración que afecta a 100 millones de cuentas

17 diciembre, 2018
13 Compartido 1,984 Visualizaciones

Hackers han comprometido datos de 100 millones de usuarios de la web de preguntas y respuestas Quora.com.

Las malas noticias llegaron en forma de correo electrónico a los usuarios afectados (se estima que la mitad de sus 200 millones de usuarios) y a través de un anuncio público realizado el lunes en su web.

La empresa descubrió la filtración el pasado 30 de noviembre, encontrando  que “se comprometieron datos por terceros que consiguieron acceder a su sistema” escribió el CEO de Quora, Adam D’Angelo.

Los datos a los que se accedió incluyen nombre, email y contraseñas cifradas (hashed) y cualquier dato importado de redes enlazadas autorizadas por los usuarios.

También “contenido no publico y acciones, por ejemplo peticiones de respuestas, votos negativos o mensajes directos”, aunque la empresa cree que solo un pequeño porcentaje de usuarios tenían esos datos en sus cuentas.

Además, los ciberdelincuentes obtuvieron todas las preguntas, respuestas y votos positivos de los usuarios, aunque esto estuviese disponible públicamente en la propia web.

No están afectados los usuarios que publicaron anónimamente, ya que Quora no almacena estos datos.

¿Qué hacer?

Si eres uno de los 100 millones, la empresa te desconectará y te pedirá que cambies la contraseña la próxima vez que utilices esa web.

Incluso si eres un usuario al que Quora no le ha pedido que cambie la contraseña, es una buena idea hacerlo, aunque seas uno de los muchos usuarios que ha olvidado que se había dado de alta en algún momento del pasado.

¿Qué está haciendo Quora para que no ocurra algo similar en el futuro?

”Creemos que hemos encontrado la causa raíz del problema y hemos tomado las decisiones necesarias para solucionar el asunto, aunque continuamos investigando y mejoraremos la seguridad”.

Las contraseñas importan

Como en cualquier otra filtración de datos, el problema oculto es que pueden hacer los ciberdelincuentes con los datos que robaron la semana pasada.

La preocupación no son únicamente las propias cuentas comprometidas de Quora, si no también que algunas contraseñas pudieron ser reutilizadas en otras webs. Sobre este punto lo importante es saber cuándo se produjo la filtración y el tiempo que transcurrió antes de ser detectada.

Quora dice que las contraseñas estaban “cifradas”. Esperamos que esto signifique que pasaron un proceso de hashing y simplemente escogieron una palabra que gente pueda reconocer más fácilmente como segura.

Lo que no nos han dicho es qué tipo de función hashing han utilizado, ni en el salting. Estos detalles pueden marcar la diferencia.

Si la empresa utilizó el obsoleto MD5 o SHA-1, no son buenas noticias. Si han utilizado bcrypt o scrypt de una forma adecuada, requeriría un esfuerzo mucho mayor el poder craquear las contraseñas.

Como muestra de las diferencias, recuerda lo que paso cuando los expertos intentaron craquear las contraseñas expuestas en el caso de Ashley Madison.

El anuncio de Quora significa la tercera gran filtración de datos de la semana, tras Marriot (con 500 millones de cuentas afectadas) y Dell (cuyo tamaño aun desconocemos).

Te podría interesar

Cinco consejos para evitar que nadie pesque en tus cuentas este verano
Actualidad
12 compartido1,001 visualizaciones
Actualidad
12 compartido1,001 visualizaciones

Cinco consejos para evitar que nadie pesque en tus cuentas este verano

Vicente Ramírez - 24 agosto, 2018

All4Sec, compañía española especializada en ciberseguridad, analiza la creciente ola de phishing y nos ofrece 5 consejos para evitar ser…

Una transferencia internacional segura en 8 segundos, gracias al Blockchain
Actualidad
67 compartido1,845 visualizaciones
Actualidad
67 compartido1,845 visualizaciones

Una transferencia internacional segura en 8 segundos, gracias al Blockchain

José Luis - 22 marzo, 2018

El sistema Blockchain fue protagonista el miércoles en el evento Big Data to Talent que la Madrid School of Marketing…

Cuatro claves de ciberseguridad que todos los CEO deberían adoptar
Actualidad
31 compartido768 visualizaciones
Actualidad
31 compartido768 visualizaciones

Cuatro claves de ciberseguridad que todos los CEO deberían adoptar

José Luis - 19 febrero, 2018

Cada año se producen miles de vulneraciones de ciberseguridad en empresas de todo el mundo. Según se desprende del último Informe…

Deje un comentario

Su email no será publicado