:

Szerző: Hlács Ferenc

2018. december 4. 13:30

A Quorával folytatódik a masszív adatlopások sora

A kérdés-felelet oldaltól ismeretlenek 100 millió felhasználó adatait szerezték meg, jelszavak vagy fizetési adatok szerencsére nincsenek veszélyben.

Alig telt el néhány nap a Marriott botránya óta, máris újabb masszív adatszivárgás szedi áldozatait, ezúttal a népszerű Quora kérdés-felelet oldaltól szerezték meg hackerek mintegy 100 millió felhasználó adatait. A vállalat pénteken figyelt fel rá, hogy rendszereihez harmadik felek illetéktelen hozzáférést szereztek, azóta pedig saját biztonsági csapataival, illetve külső biztonsági cégekkel is dolgozik az ügy felgöngyölítésén, továbbá a hatóságokat is értesítette.

A támadók egy sor fiókadatot megszereztek, beleértve a felhasználók nevét, email címét, IP címét, felhasználói azonosítóját és személyes beállításait, továbbá a nyilvánosan feltett kérdéseket, válaszokat, hozzászólásokat és blogposztokat is, emellett az olyan, egyébként nem publikus tevékenységek naplóját is, mint az egyes témákban leadott negatív szavazatok vagy válaszkérések. Az adatszivárgásban ugyancsak illetéktelen kezekbe kerültek a külső, a Quorával összekapcsolt szolgáltatásokból bevont információk, mint a demográfiai adatok, érdeklődési körök, illetve az oldal hozzáférési tokenjei is, utóbbiakat persze a vállalat gyorsan érvénytelenítette.

quoraill

A jó hír, hogy a támadók csak a titkosított jelszavakat tudták megszerezni, ugyanakkor biztos ami biztos így is erősen javallott megváltoztatni azt - erre az érintetteket a Quora kötelezi is. A cég szerint a névtelenül közzétett kérdéseket és válaszokat az ügy nem érinti, azoknál ugyanis a szolgáltatás nem tárol a felhasználó azonosítására használható adatokat. A Quora értesítette az érintetteket az ügyről, illetve a vállalat szerint már az adatlopást lehetővé tevő biztonsági rést is megtalálta, és megkezdte annak befoltozását. A vállalat egy dedikált FAQ oldalt is közzétett az ügyben a felmerülő kérdések megválaszolására.

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Az adatlopás a mezei felhasználókon túl a Quora Partner Programjában résztvevőket is érintette - a programmal a cég a jó minőségű válaszokat generáló, különösen népszerű kérdések feltevőit igyekszik jutalmazni. A vállalat kapcsolódó blogposztjában sietett megnyugtatni a partnereket, hogy semmilyen pénzügyi adatuk nem került illetéktelen kezekbe. Igaz az adatlopás során a cég által használt Stripe fizetési megoldás egyes információi, egész pontosan a Stripe fiókhoz használt hozzáférési tokenek rövid ideig veszélybe kerültek, a fizetési szolgáltató azonban megerősítette, hogy ezeket az elkövetők nem használták, illetve gyorsan érvénytelenítette is őket.

A partnereket a cég külön emailben is értesítette a történtekről, kiemelve, hogy már semmilyen személyes vagy pénzügyi információjuk nincs veszélyben. A programban résztvevőknek a Stripe mellett lehetőségük van PayPalon keresztül is fogadni a kifizetéseket, őket a cég szerint az adatlopás egyáltalán nem érinti. A Quora felhasználóinak mindenesetre ahogy már korábban is kitértünk rá, érdemes jelszót váltani, és persze minden online szolgáltatásnál egyedi jelszavakat használni, lehetőleg egy jelszókezelő segítségével.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról