يستعدوا لخرق بيانات هائل آخر. Quora.com ، الموقع الذي يسأل فيه الأشخاص الأسئلة ويجيبون عليها في مجموعة من الموضوعات ، وقال المتسللين خرق شبكة الكمبيوتر الخاصة به والوصول إلى مجموعة متنوعة من البيانات الشخصية يحتمل أن تكون حساسة لحوالي 100 مليون users.
تتضمن المعلومات الموصوفة الحماية المشفرة كلمات المرور ، الأسماء الكاملة ، عناوين البريد الإلكتروني ، البيانات المستوردة من الرابط الشبكات ، ومجموعة متنوعة من المحتوى والإجراءات غير العامة ، بما في ذلك الرسائل المباشرة ، طلبات الإجابة ، وخفض الأصوات. ال البيانات المخالفة تضمنت أيضًا محتوى وإجراءات عامة ، مثل الأسئلة والأجوبة والتعليقات و upvotes. في منشور منشور متأخرا بعد ظهر الاثنين ، قال مسؤولون Quora أنهم اكتشفوا وصول غير مصرح به يوم الجمعة. لقد استأجرت منذ ذلك الحين الرقمية الطب الشرعي وشركة أمنية للتحقيق وأفادت أيضا انتهاك المسؤولين عن إنفاذ القانون.
“تقع على عاتقنا مسؤولية التأكد من عدم حدوث أشياء مثل هذا يحدث ، وفشلنا في الوفاء بهذه المسؤولية ، “الرئيس التنفيذي لشركة Quora آدم كتب D’Angelo في منشور الاثنين. “نحن ندرك ذلك من أجل الحفاظ على ثقة المستخدم ، نحتاج إلى العمل بجد للتأكد من ذلك لا يحدث مرة أخرى. ”
لقد سجلت الخدمة جميع المستخدمين المتأثرين ، وفي هذا الحدث يستخدمون كلمات المرور للمصادقة ، وكانت كلمات المرور القديمة يبطل – فسخ. المستخدمون الذين اختاروا نفس كلمة المرور لحماية الحسابات على خدمة مختلفة يجب إعادة تعيين كلمات المرور هذه فورًا حسنا. بدأت Quora بالفعل في إرسال بريد إلكتروني للمستخدمين المتأثرين.
“نعتقد أننا حددنا السبب الجذري واتخذنا خطوات ل معالجة المشكلة ، على الرغم من أن تحقيقنا مستمر ، وسنقوم بذلك الاستمرار في إجراء تحسينات أمنية ، ” “نحن سوف تستمر في العمل داخليا ومع خبرائنا الخارجيين للحصول على فهم كامل لما حدث واتخاذ أي شيء آخر العمل حسب الحاجة. ”
لم يتمكن المتسللون من الوصول إلى الأسئلة والإجابات عليها مكتوبة بشكل مجهول ، لأن Quora لا تخزن هويات الأشخاص الذين ينشرون محتوى مجهول الهوية. القرار لا لربط المحتوى المجهول بهويات الأشخاص الذين ينشرونه هي ذكية ستحمي هويات العديد من الأشخاص الذين ناقش الأمور الشخصية الحساسة. لكنها سوف تفعل أقل للدرع الأشخاص الذين ، على الرغم من سياسة Quora على العكس من ذلك ، قد استخدموا أ اسم مستعار كاسم حسابهم أو الذي ناقش الأمور الحساسة في الرسائل المباشرة.
الأمر كله يتعلق بوظيفة التجزئة
قرار أقل فائدة من قورة: خرق الشركة الإخطار لم يوضح تنسيق كلمة المرور المسروقة البيانات باستثناء القول أنه “مشفر” ويستخدم التشفير الملح الذي يختلف لكل مستخدم. وهذا يعني أن كلمات المرور كانت إلحاق مع سلسلة فريدة من النص ثم مرت وظيفة التجزئة في اتجاه واحد. وظيفة التجزئة المحددة مهمة للغاية. إذا كان يستخدم أقل من 10000 تكرار من الصيام خوارزمية مثل MD5 ، والمتسللين باستخدام الأجهزة الجاهزة و قوائم الكلمات المتاحة للجمهور يمكن أن تصل إلى 80 في المئة من كلمة مرور التجزئة في يوم أو يومين. وظيفة مثل bcrypt ، من قبل على النقيض من ذلك ، يمكن أن تمنع نسبة كبيرة من التجزئة من أي وقت مضى تحويلها إلى نص عادي.
في تغريدة نشرت يوم الثلاثاء ، ما يقرب من 24 ساعة بعد إخطار ذهب على الهواء مباشرة ، وقال Quora كانت وظيفة bcrypt. أن يعني أنها ستكون باهظة الثمن وتستغرق وقتا طويلا ل الغالبية العظمى من التجزئة التي سيتم فك شفرة.
مشاركة Quora ليست سوى أحدث كشف عن خرق كبير. على الجمعة ، سلسلة فنادق ماريوت الدولية قال خرق النظام سمح للمتسللين بسرقة أرقام جواز السفر وبيانات بطاقة الائتمان و تفاصيل أخرى عن 500 مليون عميل. في سبتمبر ، الفيسبوك عن هجوم على شبكتها سمح للمتسللين بسرقة التفاصيل الشخصية لما يصل إلى 50 مليون مستخدم. الاجتماعي شبكة خفضت في وقت لاحق عدد الحسابات المتضررة إلى حوالي 30 مليون.
يتم تذكير القراء مرة أخرى باستخدام طويل ومعقد كلمة مرور فريدة لكل موقع ، من الناحية المثالية باستخدام كلمة مرور مدير. كلما توفر المصادقة متعددة العوامل ، والناس يجب أن تستخدم هذه الحماية أيضا.
تم تحديث هذا المنشور بعد ظهر الثلاثاء لتوضيح ذلك وقال الإخطار الأولي خرق تم مملحة كلمات المرور ولإضافة تحديث Quora فيما بعد أن دالة التجزئة المستخدمة كانت bcrypt.
