Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Privédata honderd miljoen Quora-gebruikers mogelijk buitgemaakt in hack

Een of meerdere criminelen hebben toegang gekregen tot servers van vragensite Quora, waarbij zij mogelijk toegang hadden tot privédata van honderd miljoen gebruikers, waaronder mailadressen en gehashte wachtwoorden.

Quora is bezig met getroffen gebruikers op de hoogte stellen, meldt het bedrijf. Quora vermeldt dat niet van alle gebruikers evenveel data is ontvreemd. Er zijn ook gebruikers die op de site privéberichten hebben verstuurd of ontvangen en ook die kunnen zijn ontvreemd.

In een faq raadt Quora gebruikers aan om wachtwoorden van gelinkte accounts te veranderen. De site heeft van veel gebruikers het wachtwoord gereset, waardoor die gebruikers bij de volgende inlogpoging een nieuw wachtwoord moeten aanmaken.

Quora heeft autoriteiten ingelicht en hoopt erachter te komen wie de aanval heeft of hebben gepleegd. De site merkt verder op dat het belooft om hard te werken om het vertrouwen van gebruikers te herwinnen. Quora kwam er vrijdag achter dat de gebruikersdata mogelijk was gestolen. Het is onbekend wanneer de hack precies plaatsvond.

Door Arnoud Wokke

Redacteur mobile

04-12-2018 • 06:32

47 Linkedin Google+

Reacties (47)

Wijzig sortering
Ik heb de mail ook gekregen, maar had me in het verleden ingeschreven via mijn Google (Google+) account en had dus geen wachtwoord in gebruik bij Quora.
Toch heb ik ook weer een wrange nasmaak bij het lezen van de details die men alweer opgeslagen en nu ontvreemd heeft bij elk gebruikersprofiel. Moet je nagaan dat de website bedoeld is om simpelweg vragen te stellen en te beantwoorden. Dan vraag ik me toch serieus af waarom al die randzaken dan nodig zijn en persé bewaard en gelinkt moeten worden aan het profiel. Het liefst van al zou ik terug willen gaan naar de core minimum. Gebruikersnaam en paswoord, that's it. Hoewel ik mijn wachtwoorden niet hergebruik (heb een paswoord vault met gegenereerde wachtwoorden) vind ik het best wel akelig dat personen met malafide bedoelingen ondertussen over voldoende gelekte data over mij beschikken dat ze een L1 service desk engineer eenvoudig om de tuin kunnen leiden bij verzoek om een wachtwoord reset, die qua verificatie vaak niet verder komt dan vragen te stellen over je gebruikersprofiel zoals woonplaats, geboortedatum, enzovoort.
Ik ga je even wakker schudden:
Ze hebben niet alleen al jouw gestelde vragen, maar waarschijnlijk ook een lijst met elke vraag die je bekeken hebt, hoe lang je op elke pagina gezeten hebt en waar je precies naar gekeken hebt.
Metadata weet je wel. Iets dat te weinig aan bod gekomen is in de recente Facebookrel. Daar had iedereen het over de user-data, terwijl de metadata toch wel iets interessanter kan zijn...

[Reactie gewijzigd door ? ? op 4 december 2018 10:53]

Één woord: reclame. Hoe meer ze weten, hoe specifieker ze reclameplek kunnen verkopen.
Dit soort meldingen, is inmiddels een dagelijks gebeuren.
Zoals in de mail staat die ik van Quota kreeg:
What information was involved

The following information of yours may have been compromised:

Account and user information, e.g. name, email, IP, user ID, encrypted password, user account settings, personalization data
Public actions and content including drafts, e.g. questions, answers, comments, blog posts, upvotes
Data imported from linked networks when authorized by you, e.g. contacts, demographic information, interests, access tokens (now invalidated)
encrypted password
Dit zegt niet veel. Van hun site:
While the passwords were encrypted (hashed with a salt that varies for each user)
Transparantie zou zijn als ze zeggen welk hash en salt algoritme gebruikt wordt. Zeker vandaag de dag met de snelheid van GPU password hash cracking zou het fijn zijn om te weten dat ze bijvoorbeeld iets gebruiken als Argon2id in plaats van MD5+3 byte salt.

[Reactie gewijzigd door The Zep Man op 4 december 2018 07:14]

In de oorspronkelijke mail staat in een alinea verder ook het volgende;

"While the passwords were encrypted (hashed with a salt that varies for each user), it is generally a best practice not to reuse the same password across multiple services, and we recommend that people change their passwords if they are doing so."

Niet veelzeggend, maar wel salted.
Geeft dat de hackers dan ook niet de benodigde info?
Geeft dat de hackers dan ook niet de benodigde info?
Kerckhoff's principe. Een systeem zou veilig moeten zijn als alles over dat systeem openbaar is, met uitzondering van het sleutelmateriaal. Algoritmes kunnen gewoon openbaar zijn.

Daarnaast hebben de hackers mogelijk al inzicht hoe wachtwoorden zijn opgeslagen wanneer ze ook sitecode hebben bemachtigd. Ook is het niet zo moeilijk om een hash + salt te identificeren.

[Reactie gewijzigd door The Zep Man op 4 december 2018 11:06]

Hashing algorithm is inderdaad geen secret. De salt wel, want dat maakt onderdeel uit van de implementatie, niet het algoritme.
De salt is niet geheim, die heb je immers nodig om de hash te reproduceren bij het verifiëren van het wachtwoord.

Je kunt de salt wel geheim maken door hem te encrypten of ergens anders op te slaan, en grappig genoeg wordt het dan een pepper genoemd
Geheim als in niet delen met de buitenwereld. Nog beter is een random-salt. Wel grappig dat een encrypte salt pepper wordt genoemd :).
Bij niet geheim denk ik gelijk aan dat je de salt prima kunt publiceren. In de meeste gevallen wil je toch juist niet dat je salt bekend is (en dus geheim)? Het idee van salten is dat je het decrypten moeilijker maakt voor kwaadwillenden. Die salts worden vaak random gegenereerd en opgeslagen in een database, dus alleen toegankelijk voor degene met een account op de databaseserver, en voor je script die de salt nodig heeft.
Uiteindelijk staan alle gegevens (meestal) in een database waar de buitenwereld niet bij kan idd, maar veel van deze maatregelen zijn uiteindelijk bedoeld voor het geval dat de database in handen van een onbevoegde komt.

Als je over de veiligheid van een dergelijk systeem wilt beredeneren kun je gewoon leesbare data zoals een salt dus in principe beschouwen als "niet geheim".

Maar het is maar net hoe je het ziet natuurlijk :)
Die weten het waarschijnlijk al. Aan de lengte van de hash weet je heel snel welke het is. Wat de salt is staat meestal in dezelfde database row.
Vaak (absoluut niet altijd hoor) is het zo dat als ze toegang hebben bemachtigd tot de 'motherload' oftewel de database(s), ze waarschijnlijk ook toegang hebben weten te verschaffen tot de source code a.k.a. de code die de wachtwoorden moet hashen.
Transparantie zou zijn als ze zeggen welk hash en salt algoritme gebruikt wordt.

Niet... max wachtwoord is 75, het is encrypted, niet hashed.
Dat is wel heel erg stellig, aan de hand van deze informatie kun je dat niet met zekerheid zeggen. Het is inderdaad wel een indicator dat dat zo kan zijn, maar er zijn genoeg systemen die een max wachtwoord lengte hebben en wel gewoon hashed opgeslagen worden.
Het wordt tijd dat knappe koppen eens bij elkaar gaan zitten en bedenken hoe data veilig opgeslagen kan worden, zonder afhankelijk te zijn van databases en versleutelingen, zoals we die nu kennen. Hoe dat weet ik niet, daar ben ik te dom voor, maar ik denk wel dat er een manier bedacht kan worden die het databaseverhaal zoals we het nu kennen een andere dementie kan geven. Wellicht met AI, waardoor tables en records overboden worden of icm browsermakers. Ik noem maar wat.
Hoe lang zijn knappe koppen al niet bezig om een kluis te maken die niet te kraken is, toch lukt het criminelen iedere keer weer. Heel simpel geld en medewerkers vormen de zwakste schakel, met geld kan je iemand omkopen en medewerkers lekken volgen procedures niet of zijn ontevreden.
We zullen moeten accepteren dat de systemen niet waterdicht zijn, alleen zou de handel in gegevens veel zwaarder bestraft moeten worden zodat er geen bedrijf is die het wil kopen. Maar ja het is veel meer een internationaal probleem natuurlijk. Want misschien probeert die hacker wel op deze manier eten voor zijn familie bij elkaar te krijgen?
en ..... waar ligt de grens tussen verkoop van gestolen gegevens uit een derden database en gegevens die van je worden opgeslagen zonder dat jij het wist?
Wat mij betreft en ik denk ook volgens de GDPR is daar geen verschil tussen. Alleen is er soms een grijs gebied welke iemand zelf kan creeren. Om een voorbeeld te geven. Ik gebruik Matomo voor bezoek analyse van mijn website, IP wordt netjes anoniem (laatste octet is 0) maar een plugin legt ook de provider vast met reverse DNS hierdoor zie ik dat verkeer van sommige bedrijven en ook particulieren met naam als provider komen. Lees ook mijn eigen naam zie ik in de statistieken komen. Dit kan je zien als een privacy probleem, toch is er nergens de intentie. Vandaar grijs.
Intentie heeft niets te maken met het overtreden van een wet of regelgeving. In dit geval weet je zelfs al dat de plugin dingen op slaat die personen kunnen identificeren. Mocht er ooit gezeik komen, dan had je de plugin niet noeten gebruiken.
Of heeft de gebruiker dat bewust zelf gedaan, waarbij je kan aanvoeren dat het hele DNS systeem gericht is op bedrijven en niet op consumenten. Verder wordt er niets mee gedaan. Wil het vooral als voorbeeld aangeven waarbij de consument door voor bedrijven bedoelde systemen te gebruiken onbewust soms gegevens vrijgeeft.
Het wordt tijd dat knappe koppen eens bij elkaar gaan zitten en bedenken hoe data veilig opgeslagen kan worden
Je kan ook zo weinig mogelijk of geen privacy gevoelige data opslaan. Dan hoef je het ook niet te beveiligen. Of uit te zoeken of je voldoet aan de AVG/GDPR. Voor b.v. een creditkaart zijn er zoveel regels dat creditkaartgegevens bijna alleen door enkele specialistische betaalbedrijven wordt opgeslagen.
Er zijn al genoeg methoden. Bedrijven zijn vaak gewoon niet bereid ze toe te passen. Kost tijd/geld. En ze denken dat zolang er niks mis gaat dan hoeven ze ook niks te updaten.
Ik vind dat je jezelf tekort doet om jezelf dom te noemen terwijl je een goed punt hebt. Moest wel inwendig gniffelen toen je over dementie begon waar je dimensie bedoelt ;)
Ik weet dat het mosterd na de maaltijd is, maar ik heb gelijk mijn account verwijderd.
Hier staat hoe en wat.
Dat heb ik eerder gedaan.. maar bezoek binnen 14 dagen daarna per ongeluk een vraag op Quora via Google en je wordt automatisch ingelogd en je account is weer geactiveerd. Welkom nieuwe bijbehorende spammailtjes! :/
If you login during the next 14 days, the account will be reactivated and deletion will be canceled.
Gelukkig kan het blijkbaar ook sneller:
If you have further questions regarding account deletion or you need your account to be deleted before the 14 day deactivation period, please let us know by contacting us via our contact form.

[Reactie gewijzigd door jacobras op 4 december 2018 16:22]

Quora probeert altijd te pushen om een account aan te maken. Als je een of twee vragen hebt bekeken wordt via een cookie een melding gegeven dat je eerst een account moet aanmaken en participeren. Prive browser mode lost dit op.

Ik ben blij dat ik hier nooit een account heb aangemaakt als ik dit zo lees. Zo blijkt maar weer, minder informatie is beter.
Deze plugin werkt ook goed daarvoor. Dan hoef je geen incognito tab/venster te gebruiken.

https://chrome.google.com...ikpdihahjljbigedkangbieih
Kreeg ook de mail, kan me alleen niet herinneren het ooit gebruikt te hebben. Vallen andere domeinen er misschien ook onder?

edit: Waarschijnlijk heb ik er ooit ingelogd met mijn Google+ Account, wat nu niet meer bestaat,

[Reactie gewijzigd door Koos Ofzo op 4 december 2018 08:54]

Als je de site wilt lezen, kun je geloof ik 1 artikel gratis lezen. Je moet dus in Incognito lezen, of ingelogd zijn. En dan willen ze al je prive data (die kregen ze niet van mij). Wat betreft PMs: dit is waarom je GPG moet gebruiken voor PMs. Ook op Tweakers.net kun je ze niet zelf verwijderen. Lekker dan.

[Reactie gewijzigd door Jerie op 4 december 2018 07:31]

Als je achter je URL ?share=1 zet moet je niet inloggen.

https://meta.stackexchang...-to-skip-the-login-window

[Reactie gewijzigd door croontje op 4 december 2018 07:40]

Gebruik ook voor elke site een ander mailadres. I.c.m. catchall. Je weet dan ook gelijk welke site je mail gelekt heeft als je spam krijgt. Op elke site gebruik je uiteraard een uniek wachtwoord.
Wel mooi balen als je hier tussen staat/zit.

[Reactie gewijzigd door rleever op 4 december 2018 08:35]

Maar... Ik zou dan tussen de 40 en 50 emailadressen nodig hebben? Hoe doe je dat? Het emailadres maakt niet zo veel uit, het gaat er om dat je niet hetzelfde wachtwoord meermaals gebruikt.
Als je een catchall hebt kun je gewoon mail1@domein.xyz, mail2@domein.xyz etc invoeren. Er zijn ook pakketten waarmee je unieke mails kan genereren.

Gebruik zelf voor heel veel zaken die niet belangrijk zijn https://10minutemail.com. Uniek email adres dat maar 10 minuten werkt. Ideaal om even een gratis download binnen te halen van een whitepaper of een free e-book en bijbehorende SPAM die volgt nooit te hoeven zien.
Sommige diensten laten toe om een + in je email adres te gebruiken, je kan dit gebruiken als 'tag'.

Zoals: rubenkemp+tweakers@gmail.com bvb (gmail ondersteund dit, daarom dat ik het als voorbeeld neem :P)

Op gmail kan je ook puntjes toevoegen waar je wil (wel niet in het begin of op het einde, of na elkaar) dus je kan zo ook een paar extra 'aliassen' maken bvb ruben.kemp@gmail.com, ru.benkem.p@gmail.com
Ik gebruik deze methode ook. Ben al maanden bezig om waar mogelijk mijn email te veranderen en heb al twee spam berichten gehad welke ik dus kon traceren naar het lek. Site eigenaren geinformeerd.
Is het raar als ik nog nooit van Quora heb gehoord? Ik zie staan dat honderd miljoen gebruikers mogelijk gehackt zijn, maar nooit iets over gelezen in algemeen
Het bestaat nog niet zo lang maar vaak als je een vragende zin intypt in Google kom je uit bij deze site.

De laatste 3-4 jaar zijn het over het algemeen grotendeels Aziaten die er gebruik van maken, dus dan is 100 miljoen zo gehaald. Ook is het makkelijk om met je Google account in te loggen (1 of 2 keer klikken).
Dat soort hacks zijn bijna niet te voorkomen. Het probleem is en wordt, dat met je gegevens van alles wordt gedaan, waaronder chantage. De kans is redelijk dat wanneer je gegevens ooit zijn gelekt en dit kun je hier checken:

https://haveibeenpwned.com/

dat die gegevens ergens op straat liggen, dus je e-mail combinatie met wachtwoord. Ik heb al eens een Postbin langs zien komen met wachtwoorden.

Als je in je SPAM-box kijkt (en je gegevens zijn ooit gelekt door bijvoorbeeld Adobe), dan is de kans groot dat je al van die chantage mails hebt gekregen. Die mails hebben dan inhoud met de strekking:
"Dit is je wachtwoord (hebben ze uit die files), ik heb alles van je en ook opnames van je webcam waar je met dingen bezig bent wat je niet wilt laten zien aan je vrienden en familie. Als je niet binnen x tijd geld / bitcoin over maakt, dan deel ik dat met ze allemaal. Dat wil je niet."
Meestal is dat natuurlijk blufpoker, want ze moeten al flink wat gegevens of beelden van je hebben, maar ja het helpt niet mee. Het kan zo maar zijn dat je echt bang wordt en over gaat tot betaling. Dit is een vreselijke ontwikkeling.

Daarom, zorg voor unieke wachtwoorden op elk platform waar je een account aanmaakt.
En zorg ervoor dat je niet te veel gegevens geeft overal, want dat is natuurlijk eenvoudig te googlen (cross-referencen).
Ik blijf de onpopulaire mening houden dat je bedrijven niet kan vertrouwen met je wachtwoord, en dat het je eigen verantwoordelijkheid is om overal een uniek wachtwoord te gebruiken.
All grote bedrijven/websites worden vroeg of later gehacked. Zelfs de password managers.

Het is de verantwoordelijkheid van de gebruiker om overal een uniek wachtwoord te kiezen.
Zo moelijk is het niet, er zijn ezelsbruggetjes voor.. Bijvoorbeeld het wachtwoord eindigen met de 2de letter van de domeinnaam + een getal naar keuze.. Ik noem maar wat.

[Reactie gewijzigd door pim op 4 december 2018 11:13]


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True