El sitio web de preguntas y respuestas Quora ha sido hackeado, con los nombres y direcciones de correo electrónico de 100 millones de usuarios comprometidos
Quora es uno de esos éxitos silenciosos de internet. No siempre aparece en los titulares, pero se ha convertido en una de las fuentes de información más importantes en la Web.
Junto a Wikipedia, por supuesto, el servicio ahora ha llegado a los titulares, pero, desafortunadamente, no de una buena manera. Sus datos de usuario fueron comprometidos, en otras palabras, fue hackeado. Esto es lo que la compañía dice que se tomó y lo que debe hacer, tal vez incluso si no fue afectado en absoluto.
Quora hackeado
En una publicación del blog, el CEO de Quora, Adam D’Angelo, explicó que la compañía notó por primera vez la violación de datos el viernes y desde entonces se ha alistado con investigadores de seguridad independientes para ayudar a investigar lo que sucedió y mitigar el daño.
Recientemente descubrimos que algunos datos de los usuarios se vieron comprometidos como resultado de un acceso no autorizado a uno de nuestros sistemas por parte de un tercero malintencionado. Estamos trabajando rápidamente para investigar más a fondo la situación y tomar las medidas adecuadas para prevenir este tipo de incidentes en el futuro.
También queremos ser lo más transparentes posible sin comprometer nuestros sistemas de seguridad o los pasos que estamos dando, y en esta publicación compartiremos lo que sucedió, la información involucrada, lo que estamos haciendo y lo que puede hacer.
Lamentamos cualquier inquietud o inconveniente que esto pueda causar.
Quora informa que en el momento en que se enteró del acceso no autorizado el 30 de noviembre, se puso en marcha de inmediato, lo que implicó investigar el caso internamente, contratar a una «firma forense y de seguridad digital líder» y notificar a los usuarios que fueron pirateados. No entra en detalles, naturalmente, pero sí apunta con el dedo a un tercero malicioso.
¿Qué datos se robaron?
La cantidad de datos obtenidos de Quora es motivo suficiente para preocuparse. Aunque no incluyen información personal confidencial, sigue siendo un tesoro para los piratas informáticos. Se recolectaron:
- Información de la cuenta, por ejemplo, nombre, dirección de correo electrónico, contraseña encriptada (con un hash que varía para cada usuario)
- Datos importados de redes vinculadas cuando son autorizados por los usuarios
- Contenido público y acciones (por ejemplo, preguntas, respuestas, comentarios, upvotes)
- Contenidos y acciones no públicos (por ejemplo, solicitudes de respuesta, votos negativos, mensajes directos)
Los datos de usuario comprometidos incluyen contraseñas de hash / cifrado. Sin embargo, las posibilidades de que los hackers las descifren son escasas. Pero no te arriesgues. Quora está notificando a los usuarios afectados de forma privada e invalida sus contraseñas, lo que les obliga a crear otras nuevas.
El servicio también está desconectando a todos y puede ser un buen momento para que cualquier persona con una cuenta de Quora cambie sus contraseñas. Aún más importante, deben verificar que no estén utilizando la contraseña comprometida en ninguna otra cuenta asociada con su correo electrónico.
¿Qué hacer si fuiste una de las víctimas?
Mas allá del posible robo de tun información, es muy poco el impacto a nivel usuario. Definitivamente puedes descartar un robo de identidad, ya que Quora no recopila información personal confidencial como números de tarjeta de crédito o de seguridad social.
Sin embargo, los hackers efectivamente podrían hacer uso de tu información para construir un mejor perfil de tu persona, en lo que se conoce como ingeniería social.
Las personas hacen preguntas personales que podrían ayudar a dibujar un perfil de personalidad y otros dan respuestas que podrían hacer lo mismo. A principios de este año, cuando Facebook admitió que había perdido el control de los datos de 87 millones de usuarios, se le recordó al público en general que las violaciones de datos no son solo sobre el robo de identidad. En ese caso, una empresa que trabaja para la campaña presidencial de Trump de 2016 obtuvo acceso a los datos, lo que generó la preocupación de que se usó para mensajes políticos específicos. La firma ha disputado el número de datos de usuarios que obtuvo y mantiene que ninguno de los datos se empleó directamente durante las elecciones de 2016.
Quora es solo uno de los últimos casos de piratería de alto perfil que llegan a las noticias. A decir verdad, los intentos de piratería nunca se detienen, pero algunos son más exitosos que otros. Y, sin embargo, a pesar de la frecuencia con que suceden estas cosas, todavía estamos en deuda con medidas de seguridad débiles e incluso prácticas de seguridad más débiles.