Privédata honderd miljoen Quora-gebruikers mogelijk buitgemaakt in hack

Een of meerdere criminelen hebben toegang gekregen tot servers van vragensite Quora, waarbij zij mogelijk toegang hadden tot privédata van honderd miljoen gebruikers, waaronder mailadressen en gehashte wachtwoorden.

Quora is bezig met getroffen gebruikers op de hoogte stellen, meldt het bedrijf. Quora vermeldt dat niet van alle gebruikers evenveel data is ontvreemd. Er zijn ook gebruikers die op de site privéberichten hebben verstuurd of ontvangen en ook die kunnen zijn ontvreemd.

In een faq raadt Quora gebruikers aan om wachtwoorden van gelinkte accounts te veranderen. De site heeft van veel gebruikers het wachtwoord gereset, waardoor die gebruikers bij de volgende inlogpoging een nieuw wachtwoord moeten aanmaken.

Quora heeft autoriteiten ingelicht en hoopt erachter te komen wie de aanval heeft of hebben gepleegd. De site merkt verder op dat het belooft om hard te werken om het vertrouwen van gebruikers te herwinnen. Quora kwam er vrijdag achter dat de gebruikersdata mogelijk was gestolen. Het is onbekend wanneer de hack precies plaatsvond.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 04-12-2018 06:32 47

04-12-2018 • 06:32

47

Lees meer

Criminelen bieden 617 miljoen accounts van 16 gekraakte sites aan via darknet
Criminelen bieden 617 miljoen accounts van 16 gekraakte sites aan via darknet Nieuws van 12 februari 2019
Typfout in commando leidde tot grote storing Amazon S3 en downtime veel websites
Typfout in commando leidde tot grote storing Amazon S3 en downtime veel websites Nieuws van 3 maart 2017
Medeoprichter Twitter begint 'sociale zoekmachine'
Medeoprichter Twitter begint 'sociale zoekmachine' Nieuws van 8 januari 2014
Beveiliging en antivirus Privacy Hack

Reacties (47)

-Moderatie-faq
47
45
22
6
0
21
Wijzig sortering
subcultural 4 december 2018 07:32
Ik heb de mail ook gekregen, maar had me in het verleden ingeschreven via mijn Google (Google+) account en had dus geen wachtwoord in gebruik bij Quora.
Toch heb ik ook weer een wrange nasmaak bij het lezen van de details die men alweer opgeslagen en nu ontvreemd heeft bij elk gebruikersprofiel. Moet je nagaan dat de website bedoeld is om simpelweg vragen te stellen en te beantwoorden. Dan vraag ik me toch serieus af waarom al die randzaken dan nodig zijn en persé bewaard en gelinkt moeten worden aan het profiel. Het liefst van al zou ik terug willen gaan naar de core minimum. Gebruikersnaam en paswoord, that's it. Hoewel ik mijn wachtwoorden niet hergebruik (heb een paswoord vault met gegenereerde wachtwoorden) vind ik het best wel akelig dat personen met malafide bedoelingen ondertussen over voldoende gelekte data over mij beschikken dat ze een L1 service desk engineer eenvoudig om de tuin kunnen leiden bij verzoek om een wachtwoord reset, die qua verificatie vaak niet verder komt dan vragen te stellen over je gebruikersprofiel zoals woonplaats, geboortedatum, enzovoort.
? ? @subcultural4 december 2018 10:52
Ik ga je even wakker schudden:
Ze hebben niet alleen al jouw gestelde vragen, maar waarschijnlijk ook een lijst met elke vraag die je bekeken hebt, hoe lang je op elke pagina gezeten hebt en waar je precies naar gekeken hebt.
Metadata weet je wel. Iets dat te weinig aan bod gekomen is in de recente Facebookrel. Daar had iedereen het over de user-data, terwijl de metadata toch wel iets interessanter kan zijn...

[Reactie gewijzigd door ? ? op 23 juli 2024 00:51]

RVervuurt @subcultural4 december 2018 10:13
Één woord: reclame. Hoe meer ze weten, hoe specifieker ze reclameplek kunnen verkopen.
Jeroen hofman @subcultural6 december 2018 17:04
Dit soort meldingen, is inmiddels een dagelijks gebeuren.
Verwijderd 4 december 2018 06:50
Zoals in de mail staat die ik van Quota kreeg:
What information was involved

The following information of yours may have been compromised:

Account and user information, e.g. name, email, IP, user ID, encrypted password, user account settings, personalization data
Public actions and content including drafts, e.g. questions, answers, comments, blog posts, upvotes
Data imported from linked networks when authorized by you, e.g. contacts, demographic information, interests, access tokens (now invalidated)
The Zep Man
@Verwijderd4 december 2018 07:11
encrypted password
Dit zegt niet veel. Van hun site:
While the passwords were encrypted (hashed with a salt that varies for each user)
Transparantie zou zijn als ze zeggen welk hash en salt algoritme gebruikt wordt. Zeker vandaag de dag met de snelheid van GPU password hash cracking zou het fijn zijn om te weten dat ze bijvoorbeeld iets gebruiken als Argon2id in plaats van MD5+3 byte salt.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 00:51]

Scraxxy @The Zep Man4 december 2018 12:58
In de oorspronkelijke mail staat in een alinea verder ook het volgende;

"While the passwords were encrypted (hashed with a salt that varies for each user), it is generally a best practice not to reuse the same password across multiple services, and we recommend that people change their passwords if they are doing so."

Niet veelzeggend, maar wel salted.
stefanhendriks @The Zep Man4 december 2018 07:38
Geeft dat de hackers dan ook niet de benodigde info?
The Zep Man
@stefanhendriks4 december 2018 07:40
Geeft dat de hackers dan ook niet de benodigde info?
Kerckhoff's principe. Een systeem zou veilig moeten zijn als alles over dat systeem openbaar is, met uitzondering van het sleutelmateriaal. Algoritmes kunnen gewoon openbaar zijn.

Daarnaast hebben de hackers mogelijk al inzicht hoe wachtwoorden zijn opgeslagen wanneer ze ook sitecode hebben bemachtigd. Ook is het niet zo moeilijk om een hash + salt te identificeren.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 00:51]

Verwijderd @The Zep Man4 december 2018 09:09
Hashing algorithm is inderdaad geen secret. De salt wel, want dat maakt onderdeel uit van de implementatie, niet het algoritme.
JeroenB89 @Verwijderd4 december 2018 09:23
De salt is niet geheim, die heb je immers nodig om de hash te reproduceren bij het verifiëren van het wachtwoord.

Je kunt de salt wel geheim maken door hem te encrypten of ergens anders op te slaan, en grappig genoeg wordt het dan een pepper genoemd
Verwijderd @JeroenB894 december 2018 12:00
Geheim als in niet delen met de buitenwereld. Nog beter is een random-salt. Wel grappig dat een encrypte salt pepper wordt genoemd :).
mjz2cool @JeroenB894 december 2018 14:41
Bij niet geheim denk ik gelijk aan dat je de salt prima kunt publiceren. In de meeste gevallen wil je toch juist niet dat je salt bekend is (en dus geheim)? Het idee van salten is dat je het decrypten moeilijker maakt voor kwaadwillenden. Die salts worden vaak random gegenereerd en opgeslagen in een database, dus alleen toegankelijk voor degene met een account op de databaseserver, en voor je script die de salt nodig heeft.
JeroenB89 @mjz2cool4 december 2018 14:54
Uiteindelijk staan alle gegevens (meestal) in een database waar de buitenwereld niet bij kan idd, maar veel van deze maatregelen zijn uiteindelijk bedoeld voor het geval dat de database in handen van een onbevoegde komt.

Als je over de veiligheid van een dergelijk systeem wilt beredeneren kun je gewoon leesbare data zoals een salt dus in principe beschouwen als "niet geheim".

Maar het is maar net hoe je het ziet natuurlijk :)
elmuerte @stefanhendriks4 december 2018 07:41
Die weten het waarschijnlijk al. Aan de lengte van de hash weet je heel snel welke het is. Wat de salt is staat meestal in dezelfde database row.
Xalephsis @stefanhendriks4 december 2018 10:17
Vaak (absoluut niet altijd hoor) is het zo dat als ze toegang hebben bemachtigd tot de 'motherload' oftewel de database(s), ze waarschijnlijk ook toegang hebben weten te verschaffen tot de source code a.k.a. de code die de wachtwoorden moet hashen.
xiphoid @The Zep Man4 december 2018 07:55
Transparantie zou zijn als ze zeggen welk hash en salt algoritme gebruikt wordt.

Niet... max wachtwoord is 75, het is encrypted, niet hashed.
Woy Moderator PRG/SEA @xiphoid4 december 2018 09:46
Dat is wel heel erg stellig, aan de hand van deze informatie kun je dat niet met zekerheid zeggen. Het is inderdaad wel een indicator dat dat zo kan zijn, maar er zijn genoeg systemen die een max wachtwoord lengte hebben en wel gewoon hashed opgeslagen worden.
Anonymoussaurus @Verwijderd4 december 2018 06:53
Staat toch ook gewoon in het artikel? https://blog.quora.com/Quora-Security-Update 🤔
Verwijderd 4 december 2018 07:38
Het wordt tijd dat knappe koppen eens bij elkaar gaan zitten en bedenken hoe data veilig opgeslagen kan worden, zonder afhankelijk te zijn van databases en versleutelingen, zoals we die nu kennen. Hoe dat weet ik niet, daar ben ik te dom voor, maar ik denk wel dat er een manier bedacht kan worden die het databaseverhaal zoals we het nu kennen een andere dementie kan geven. Wellicht met AI, waardoor tables en records overboden worden of icm browsermakers. Ik noem maar wat.
Frogmen @Verwijderd4 december 2018 08:10
Hoe lang zijn knappe koppen al niet bezig om een kluis te maken die niet te kraken is, toch lukt het criminelen iedere keer weer. Heel simpel geld en medewerkers vormen de zwakste schakel, met geld kan je iemand omkopen en medewerkers lekken volgen procedures niet of zijn ontevreden.
We zullen moeten accepteren dat de systemen niet waterdicht zijn, alleen zou de handel in gegevens veel zwaarder bestraft moeten worden zodat er geen bedrijf is die het wil kopen. Maar ja het is veel meer een internationaal probleem natuurlijk. Want misschien probeert die hacker wel op deze manier eten voor zijn familie bij elkaar te krijgen?
MASiR @Frogmen4 december 2018 08:42
en ..... waar ligt de grens tussen verkoop van gestolen gegevens uit een derden database en gegevens die van je worden opgeslagen zonder dat jij het wist?
Frogmen @MASiR4 december 2018 08:51
Wat mij betreft en ik denk ook volgens de GDPR is daar geen verschil tussen. Alleen is er soms een grijs gebied welke iemand zelf kan creeren. Om een voorbeeld te geven. Ik gebruik Matomo voor bezoek analyse van mijn website, IP wordt netjes anoniem (laatste octet is 0) maar een plugin legt ook de provider vast met reverse DNS hierdoor zie ik dat verkeer van sommige bedrijven en ook particulieren met naam als provider komen. Lees ook mijn eigen naam zie ik in de statistieken komen. Dit kan je zien als een privacy probleem, toch is er nergens de intentie. Vandaar grijs.
MASiR @Frogmen4 december 2018 09:08
Intentie heeft niets te maken met het overtreden van een wet of regelgeving. In dit geval weet je zelfs al dat de plugin dingen op slaat die personen kunnen identificeren. Mocht er ooit gezeik komen, dan had je de plugin niet noeten gebruiken.
Frogmen @MASiR4 december 2018 10:03
Of heeft de gebruiker dat bewust zelf gedaan, waarbij je kan aanvoeren dat het hele DNS systeem gericht is op bedrijven en niet op consumenten. Verder wordt er niets mee gedaan. Wil het vooral als voorbeeld aangeven waarbij de consument door voor bedrijven bedoelde systemen te gebruiken onbewust soms gegevens vrijgeeft.
bkor @Verwijderd4 december 2018 11:03
Het wordt tijd dat knappe koppen eens bij elkaar gaan zitten en bedenken hoe data veilig opgeslagen kan worden
Je kan ook zo weinig mogelijk of geen privacy gevoelige data opslaan. Dan hoef je het ook niet te beveiligen. Of uit te zoeken of je voldoet aan de AVG/GDPR. Voor b.v. een creditkaart zijn er zoveel regels dat creditkaartgegevens bijna alleen door enkele specialistische betaalbedrijven wordt opgeslagen.
dinoballz @Verwijderd4 december 2018 16:57
Er zijn al genoeg methoden. Bedrijven zijn vaak gewoon niet bereid ze toe te passen. Kost tijd/geld. En ze denken dat zolang er niks mis gaat dan hoeven ze ook niks te updaten.
OxJr62 @Verwijderd4 december 2018 19:11
Ik vind dat je jezelf tekort doet om jezelf dom te noemen terwijl je een goed punt hebt. Moest wel inwendig gniffelen toen je over dementie begon waar je dimensie bedoelt ;)
RVervuurt 4 december 2018 10:12
Ik weet dat het mosterd na de maaltijd is, maar ik heb gelijk mijn account verwijderd.
Hier staat hoe en wat.
jacobras @RVervuurt4 december 2018 16:21
Dat heb ik eerder gedaan.. maar bezoek binnen 14 dagen daarna per ongeluk een vraag op Quora via Google en je wordt automatisch ingelogd en je account is weer geactiveerd. Welkom nieuwe bijbehorende spammailtjes! :/
If you login during the next 14 days, the account will be reactivated and deletion will be canceled.
Gelukkig kan het blijkbaar ook sneller:
If you have further questions regarding account deletion or you need your account to be deleted before the 14 day deactivation period, please let us know by contacting us via our contact form.

[Reactie gewijzigd door jacobras op 23 juli 2024 00:51]

MrBlues 4 december 2018 10:13
Quora probeert altijd te pushen om een account aan te maken. Als je een of twee vragen hebt bekeken wordt via een cookie een melding gegeven dat je eerst een account moet aanmaken en participeren. Prive browser mode lost dit op.

Ik ben blij dat ik hier nooit een account heb aangemaakt als ik dit zo lees. Zo blijkt maar weer, minder informatie is beter.
Raphaelo @MrBlues4 december 2018 16:49
Deze plugin werkt ook goed daarvoor. Dan hoef je geen incognito tab/venster te gebruiken.

https://chrome.google.com...ikpdihahjljbigedkangbieih
Koos Ofzo 4 december 2018 07:15
Kreeg ook de mail, kan me alleen niet herinneren het ooit gebruikt te hebben. Vallen andere domeinen er misschien ook onder?

edit: Waarschijnlijk heb ik er ooit ingelogd met mijn Google+ Account, wat nu niet meer bestaat,

[Reactie gewijzigd door Koos Ofzo op 23 juli 2024 00:51]

Jerie @Koos Ofzo4 december 2018 07:31
Als je de site wilt lezen, kun je geloof ik 1 artikel gratis lezen. Je moet dus in Incognito lezen, of ingelogd zijn. En dan willen ze al je prive data (die kregen ze niet van mij). Wat betreft PMs: dit is waarom je GPG moet gebruiken voor PMs. Ook op Tweakers.net kun je ze niet zelf verwijderen. Lekker dan.

[Reactie gewijzigd door Jerie op 23 juli 2024 00:51]

croontje @Jerie4 december 2018 07:39
Als je achter je URL ?share=1 zet moet je niet inloggen.

https://meta.stackexchang...-to-skip-the-login-window

[Reactie gewijzigd door croontje op 23 juli 2024 00:51]

Commander69 4 december 2018 08:34
Gebruik ook voor elke site een ander mailadres. I.c.m. catchall. Je weet dan ook gelijk welke site je mail gelekt heeft als je spam krijgt. Op elke site gebruik je uiteraard een uniek wachtwoord.
Wel mooi balen als je hier tussen staat/zit.

[Reactie gewijzigd door Commander69 op 23 juli 2024 00:51]

rubenkemp @Commander694 december 2018 10:08
Maar... Ik zou dan tussen de 40 en 50 emailadressen nodig hebben? Hoe doe je dat? Het emailadres maakt niet zo veel uit, het gaat er om dat je niet hetzelfde wachtwoord meermaals gebruikt.
sohus @rubenkemp4 december 2018 10:23
Als je een catchall hebt kun je gewoon mail1@domein.xyz, mail2@domein.xyz etc invoeren. Er zijn ook pakketten waarmee je unieke mails kan genereren.

Gebruik zelf voor heel veel zaken die niet belangrijk zijn https://10minutemail.com. Uniek email adres dat maar 10 minuten werkt. Ideaal om even een gratis download binnen te halen van een whitepaper of een free e-book en bijbehorende SPAM die volgt nooit te hoeven zien.
Sinnergy @rubenkemp4 december 2018 12:49
Sommige diensten laten toe om een + in je email adres te gebruiken, je kan dit gebruiken als 'tag'.

Zoals: rubenkemp+tweakers@gmail.com bvb (gmail ondersteund dit, daarom dat ik het als voorbeeld neem :P)

Op gmail kan je ook puntjes toevoegen waar je wil (wel niet in het begin of op het einde, of na elkaar) dus je kan zo ook een paar extra 'aliassen' maken bvb ruben.kemp@gmail.com, ru.benkem.p@gmail.com
Sneek @Commander694 december 2018 13:01
Ik gebruik deze methode ook. Ben al maanden bezig om waar mogelijk mijn email te veranderen en heb al twee spam berichten gehad welke ik dus kon traceren naar het lek. Site eigenaren geinformeerd.
Mobstar 4 december 2018 09:53
Is het raar als ik nog nooit van Quora heb gehoord? Ik zie staan dat honderd miljoen gebruikers mogelijk gehackt zijn, maar nooit iets over gelezen in algemeen
rubenkemp @Mobstar4 december 2018 10:11
Het bestaat nog niet zo lang maar vaak als je een vragende zin intypt in Google kom je uit bij deze site.

De laatste 3-4 jaar zijn het over het algemeen grotendeels Aziaten die er gebruik van maken, dus dan is 100 miljoen zo gehaald. Ook is het makkelijk om met je Google account in te loggen (1 of 2 keer klikken).
xp2002 4 december 2018 09:56
Dat soort hacks zijn bijna niet te voorkomen. Het probleem is en wordt, dat met je gegevens van alles wordt gedaan, waaronder chantage. De kans is redelijk dat wanneer je gegevens ooit zijn gelekt en dit kun je hier checken:

https://haveibeenpwned.com/

dat die gegevens ergens op straat liggen, dus je e-mail combinatie met wachtwoord. Ik heb al eens een Postbin langs zien komen met wachtwoorden.

Als je in je SPAM-box kijkt (en je gegevens zijn ooit gelekt door bijvoorbeeld Adobe), dan is de kans groot dat je al van die chantage mails hebt gekregen. Die mails hebben dan inhoud met de strekking:
"Dit is je wachtwoord (hebben ze uit die files), ik heb alles van je en ook opnames van je webcam waar je met dingen bezig bent wat je niet wilt laten zien aan je vrienden en familie. Als je niet binnen x tijd geld / bitcoin over maakt, dan deel ik dat met ze allemaal. Dat wil je niet."
Meestal is dat natuurlijk blufpoker, want ze moeten al flink wat gegevens of beelden van je hebben, maar ja het helpt niet mee. Het kan zo maar zijn dat je echt bang wordt en over gaat tot betaling. Dit is een vreselijke ontwikkeling.

Daarom, zorg voor unieke wachtwoorden op elk platform waar je een account aanmaakt.
En zorg ervoor dat je niet te veel gegevens geeft overal, want dat is natuurlijk eenvoudig te googlen (cross-referencen).
pim 4 december 2018 11:12
Ik blijf de onpopulaire mening houden dat je bedrijven niet kan vertrouwen met je wachtwoord, en dat het je eigen verantwoordelijkheid is om overal een uniek wachtwoord te gebruiken.
All grote bedrijven/websites worden vroeg of later gehacked. Zelfs de password managers.

Het is de verantwoordelijkheid van de gebruiker om overal een uniek wachtwoord te kiezen.
Zo moelijk is het niet, er zijn ezelsbruggetjes voor.. Bijvoorbeeld het wachtwoord eindigen met de 2de letter van de domeinnaam + een getal naar keuze.. Ik noem maar wat.

[Reactie gewijzigd door pim op 23 juli 2024 00:51]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq