Quora admite una filtración que afecta a 100 millones de cuentas

17 diciembre, 2018
13 Compartido 2,712 Visualizaciones

Hackers han comprometido datos de 100 millones de usuarios de la web de preguntas y respuestas Quora.com.

Las malas noticias llegaron en forma de correo electrónico a los usuarios afectados (se estima que la mitad de sus 200 millones de usuarios) y a través de un anuncio público realizado el lunes en su web.

La empresa descubrió la filtración el pasado 30 de noviembre, encontrando  que “se comprometieron datos por terceros que consiguieron acceder a su sistema” escribió el CEO de Quora, Adam D’Angelo.

Los datos a los que se accedió incluyen nombre, email y contraseñas cifradas (hashed) y cualquier dato importado de redes enlazadas autorizadas por los usuarios.

También “contenido no publico y acciones, por ejemplo peticiones de respuestas, votos negativos o mensajes directos”, aunque la empresa cree que solo un pequeño porcentaje de usuarios tenían esos datos en sus cuentas.

Además, los ciberdelincuentes obtuvieron todas las preguntas, respuestas y votos positivos de los usuarios, aunque esto estuviese disponible públicamente en la propia web.

No están afectados los usuarios que publicaron anónimamente, ya que Quora no almacena estos datos.

¿Qué hacer?

Si eres uno de los 100 millones, la empresa te desconectará y te pedirá que cambies la contraseña la próxima vez que utilices esa web.

Incluso si eres un usuario al que Quora no le ha pedido que cambie la contraseña, es una buena idea hacerlo, aunque seas uno de los muchos usuarios que ha olvidado que se había dado de alta en algún momento del pasado.

¿Qué está haciendo Quora para que no ocurra algo similar en el futuro?

»Creemos que hemos encontrado la causa raíz del problema y hemos tomado las decisiones necesarias para solucionar el asunto, aunque continuamos investigando y mejoraremos la seguridad».

Las contraseñas importan

Como en cualquier otra filtración de datos, el problema oculto es que pueden hacer los ciberdelincuentes con los datos que robaron la semana pasada.

La preocupación no son únicamente las propias cuentas comprometidas de Quora, si no también que algunas contraseñas pudieron ser reutilizadas en otras webs. Sobre este punto lo importante es saber cuándo se produjo la filtración y el tiempo que transcurrió antes de ser detectada.

Quora dice que las contraseñas estaban “cifradas”. Esperamos que esto signifique que pasaron un proceso de hashing y simplemente escogieron una palabra que gente pueda reconocer más fácilmente como segura.

Lo que no nos han dicho es qué tipo de función hashing han utilizado, ni en el salting. Estos detalles pueden marcar la diferencia.

Si la empresa utilizó el obsoleto MD5 o SHA-1, no son buenas noticias. Si han utilizado bcrypt o scrypt de una forma adecuada, requeriría un esfuerzo mucho mayor el poder craquear las contraseñas.

Como muestra de las diferencias, recuerda lo que paso cuando los expertos intentaron craquear las contraseñas expuestas en el caso de Ashley Madison.

El anuncio de Quora significa la tercera gran filtración de datos de la semana, tras Marriot (con 500 millones de cuentas afectadas) y Dell (cuyo tamaño aun desconocemos).

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Anulan un nuevo ransomware descubierto en una app de rastreo de afectados por la COVID-19
Actualidad
6 compartido1,054 visualizaciones
Actualidad
6 compartido1,054 visualizaciones

Anulan un nuevo ransomware descubierto en una app de rastreo de afectados por la COVID-19

Alicia Burrueco - 1 julio, 2020

 ESET ha anunciado el descubrimiento de una nueva campaña de ransomware dirigida a usuarios de dispositivos Android en Canadá. A…

Adara Ventures cierra la venta de AlienVault
Actualidad
21 compartido2,179 visualizaciones
Actualidad
21 compartido2,179 visualizaciones

Adara Ventures cierra la venta de AlienVault

José Luis - 24 agosto, 2018

La firma española de venture capital Adara Ventures, especializada en empresas de deep-tech, anuncia el cierre de la venta de…

9 de cada 10 encuestados desconoce si ha sido víctima de un ciberataque
Actualidad
14 compartido2,172 visualizaciones
Actualidad
14 compartido2,172 visualizaciones

9 de cada 10 encuestados desconoce si ha sido víctima de un ciberataque

Vicente Ramírez - 28 marzo, 2018

Los usuarios de internet no pueden ejercer un control total sobre la dirección que toman los datos personales y financieros…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.