Frågesidan Quora drabbas av intrång – 100 miljoner användarkonton på vift

Trädvy Permalänk
Pattern Juggler
Registrerad
Dec 1999

Frågesidan Quora drabbas av intrång – 100 miljoner användarkonton på vift

Den populära frågesidan Quora har drabbats av ett intrång. Upp till 100 miljoner kontouppgifter kan ha läckt ut, vilket gör läckan till en av de största genom tiderna.

Läs hela artikeln här

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa leder till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Trädvy Permalänk
Entusiast
Plats
Göteborg
Registrerad
Nov 2002

Sen har vi Marriott med sina 500 Miljoner användaruppgifter som jag hörde idag från Level1

All info om hotellgästernas info namn adress etc plus krypterade betalningsinfo... grejen är att dekryperingsnycklarna kan också ha blivit stulna för kreditkorten.

https://techcrunch.com/2018/11/30/starwood-hotels-says-500-mi...

Video level1

Blir ju allt vanligare med sånt.

EDIT: Kan bli ett fall för GDPR och 4% bötesbelopp.

Trädvy Permalänk
Medlem
Registrerad
Jun 2018

Har inte fått mail om det men fick ett meddelande när jag gick in på appen. Så fett trögt. Måste nu försöka komma ihåg om jag använt det gamla lösenordet till andra tjänster.

Trädvy Permalänk
Medlem
Plats
-
Registrerad
Jul 2002
Skrivet av kolomakatita:

Har inte fått mail om det men fick ett meddelande när jag gick in på appen. Så fett trögt. Måste nu försöka komma ihåg om jag använt det gamla lösenordet till andra tjänster.

Lika bra att gå igenom alla konton och lösenord, skaffa en lösenordshanterare och börja uppdatera infon med nya unika 12-24 teckenlösenord på varje tjänst

.:Wks: Cooler Master Silencio 650|Core i5 3570 3.4 GHz|Asus P8Z77-V|8 GB| GT 465|1xDell U2311H, 2xAlienware AW2210 2xEizo 19|OCZ Revo 3 Drive 120 + Raptor 150:.
.:Server: Har ett gäng :) :.
-Learn the system, Play the system, Break the system-

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2004

Stängde av mitt konto på Quora, riktigt uselt av dem.

[Intel 6700K Skylake] - [EVGA Z170 Stinger mITX] - [Crucial Ballistix Sport DDR4 16GB 2400MHz] - [NCASE M1 chassi] - [KFA2 GTX970 mITX] - [Samsung 840 240GB SSD] - [SilverStone SX500-LG] - [Noctua NH-D9L]

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jul 2004
Skrivet av Mr_Lazy:

Lika bra att gå igenom alla konton och lösenord, skaffa en lösenordshanterare och börja uppdatera infon med nya unika 12-24 teckenlösenord på varje tjänst

Riktigt bra idé.

[Intel 6700K @ 4500MHz]--[MSI Core Frozr L]--[MSI Z170 Gaming M5]--[Corsair 16GB 2666MHz DDR4]--[MSI 1080Ti Gaming X @ 2038/12006MHz]--[EVGA Supernova G2 850W]--[Fractal Design Define S]--[Windows 10 x64]--[Acer X34A @ 95Hz]--[Corsair Strafe RGB MX Silent]--[Mionix Naos 7000]--[HyperX Cloud II]

Trädvy Permalänk
Medlem
Plats
Karlskrona
Registrerad
Mar 2008
Skrivet av HappyPie:

Sen har vi Marriott med sina 500 Miljoner användaruppgifter som jag hörde idag från Level1

All info om hotellgästernas info namn adress etc plus krypterade betalningsinfo... grejen är att dekryperingsnycklarna kan också ha blivit stulna för kreditkorten.

https://techcrunch.com/2018/11/30/starwood-hotels-says-500-mi...

Blir ju allt vanligare med sånt.

Viktigt att poängtera är att även pass-nummer läkte. Gör ID kapning löjligt enkelt.

Trädvy Permalänk
Medlem
Plats
Oslo, Norge
Registrerad
Jul 2001
Skrivet av Mocka:

Riktigt bra idé.

LastPass har en funktion där det går igenom alla passord automatisk och varnar för dubbletter eller kända/svaga passord. Det kan också byta ut passorden automatiskt.

//LD

http://www.earth-dog.com - Metal for Muthas - Gore for Ghouls!

Trädvy Permalänk
Medlem
Registrerad
Jul 2013
Skrivet av HappyPie:

Sen har vi Marriott med sina 500 Miljoner användaruppgifter som jag hörde idag från Level1

All info om hotellgästernas info namn adress etc plus krypterade betalningsinfo... grejen är att dekryperingsnycklarna kan också ha blivit stulna för kreditkorten.

https://techcrunch.com/2018/11/30/starwood-hotels-says-500-mi...

Blir ju allt vanligare med sånt.

EDIT: Kan bli ett fall för GDPR och 4% bötesbelopp.

Är redan några dagar sedan nyheten kom ut. Det hände väl typ förra året bara att de inte upptäckt det förrän nu. Vilket gör det till ett äkta skräckfall. Hackning är dåligt men att inte skydda våra uppgifter i första hand är fan värre. Speciellt med aånna mängder

Skickades från m.sweclockers.com

Trädvy Permalänk
Entusiast
Plats
Göteborg
Registrerad
Nov 2002
Skrivet av aholman:

Är redan några dagar sedan nyheten kom ut. Det hände väl typ förra året bara att de inte upptäckt det förrän nu. Vilket gör det till ett äkta skräckfall. Hackning är dåligt men att inte skydda våra uppgifter i första hand är fan värre. Speciellt med aånna mängder

Skickades från m.sweclockers.com

Hackaren hade tillgång sedan 2014 i detta fall, och detta är en nyupptäckt händelse som jag har förstått.
Det du tänker på som hände för ett halv år sedan var Assalås som finns i flertalet hotell för gästrummen som hade en bakdörr? (pun intended). Ett rf-id system som var osäkert så att vem som helst kunde gå in i vilken gästrum som helt.

Trädvy Permalänk
Medlem
Registrerad
Aug 2016

Har hackarna ägt servrarna sedan 2014 så kan det vara väldigt svårupptäckt då det gäller för administratörerna att leta i varenda skrymsle i alla filer och script och se och förstå alla avvikelser där som har med OS och systemet att göra - det är leta nå nål i höstack bokstavligt talat.

Hur många går igenom rad för rad samtliga bash-scripter och förstår vad de faktiskt gör och letar efter tänkbara bakdörrar i tex. en Ubuntu-installation - den som gör det räcker upp en hand!

Med andra ord det är inte lätt alls och man skall nog vara i 'skrået' och vet hur hackerkulturen och de olika grupperingarna tänker för att ens ha en chans att hitta något om någon av dessa fått en fot in i servern... - mao. en före detta skicklig hacker kanske har en chans...

Att det avslöja nyligen är för att någon faktiskt brydde sig om att denne såg en aktivitet som inte borde vara just då, är närmast tur för administrationen och uppenbar slarv/misstag av hackarna som var inne i servrarna just då, skall man äga servrar så får man se till att det inte syns att man är där...

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Sep 2009

Kan inte minnas att jag nånsin reggat mig på Quora.com men blir ändå spammad då och då med massa skräpfrågor.

Gick in på sidan och såg att jag var "connected" genom mitt google-konto. Borde man vara nojig eller gäller det bara folk som skapat konto och angett lösenord direkt genom Quoras hemsida?

9900K - GTX 1080 ti - 16 GB - 3xXB270HU - 1xU2717DA
Yamaha HS7 - HD600 - Focusrite Scarlett 2i2 - Akai MPK261 - AT2050
Auralex Project 2™ Roominator Kit - Multibrackets Gas Lift Quad
www.soundcloud.com/candybag
www.facebook.com/candybag.se

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Nov 2018

Har många gånger läst frågor och svar där men alltid tyckt det varit bisarrt att behöva regga sig för att läsa vidare genom länkar till andra frågor. Att man behöver regga sig för att skriva accepterar jag, men fasen inte för att läsa! Så jag reggade mig inte, och skulle aldrig göra.

Moderkort: MSI Z390-A Pro | CPU: Intel Core i5-8600K@4.6 GHz | CPU-kylare: be quiet! Dark Rock Pro 4 | RAM: Corsair Vengeance 32 GB (4x8) DDR4-3000 CL15 LPX | GPU: ASUS GTX 1070 8 GB Dual OC | SSD: Kingston A400 480 GB | HDD: Seagate BC 2 TB + WD Red 4 TB | PSU: EVGA 650 W GQ Gold | Chassi: be quiet! Silent Base 801 | Skärm: Samsung SM 2433BW @ 1920x1200 | Tangentbord: Corsair K68 RGB Cherry MX Red | Mus: speedlink Calado Silent

Trädvy Permalänk
Medlem
Plats
Online
Registrerad
Aug 2009

Vad fan, loggade in där förra veckan med mitt Google-konto.. Betyder detta att hela mitt Google-konto äventyras just nu?

i7 3770K @ 4,2GHz | 16GB DDR3 | GTX 970 | 620GB SSD

Trädvy Permalänk
Skribent
Plats
Malmö
Registrerad
Jul 2012
Skrivet av M1NT:

Vad fan, loggade in där förra veckan med mitt Google-konto.. Betyder detta att hela mitt Google-konto äventyras just nu?

Hej. Nejdå. Ifall du enbart har loggat in på Quora via Google eller Facebook behöver du inte ens byta några lösenord. Quora får aldrig ditt lösenord till Google eller Facebook när du loggar in med nämnda inloggningstjänster. Quora upprättar enbart en koppling till ditt Facebook- eller Google-konto för att autentisera dig (de ber Google eller Facebook att gå i god för att du är användaren som du utger dig för att vara). Du kan se alla kopplingar som är gjorda till ditt Facebook- och Google-konto från respektive kontos säkerhetsinställningar.

Sociala medier: @KarlEmilNikka

Trädvy Permalänk
Medlem
Registrerad
Dec 2004

säkert md5, men iaf salt på den lol

Skrivet av nikka:

Quora upprättar enbart en koppling till ditt Facebook- eller Google-konto för att autentisera dig (de ber Google eller Facebook att gå i god för att du är användaren som du utger dig för att vara).

fast hur fungerar sådana websidor? bara en API som google/facebook har full kontroll över? brukar aldrig använda dessa logins just pga säkerhetsnoja.

edit: finns ju också en risk med "fejk-logins" som ser ut att vara riktiga FB/google

Trädvy Permalänk
Medlem
Plats
På snedden i Dirty South
Registrerad
Dec 2001

Är ju en stor grej det här men det verkar som att de faktiskt haft vettiga säkerhetsrutiner till skillnad från så många andra sidor. Speciellt det där med anonyma frågor och användarunika salt, även om det är MD5 så är det iallafall lite bättre än utan.

they said to go to hell so I packed my shit and went with it
little did they know that they put me in my element

Trädvy Permalänk
Skribent
Plats
Malmö
Registrerad
Jul 2012
Skrivet av grönsaksröra:

säkert md5, men iaf salt på den lol

fast hur fungerar sådana websidor? bara en API som google/facebook har full kontroll över? brukar aldrig använda dessa logins just pga säkerhetsnoja.

edit: finns ju också en risk med "fejk-logins" som ser ut att vara riktiga FB/google

Hehe. Jag hoppas sannerligen inte det är MD5.

Google och Facebook använder en kombination av lösningarna Open-ID och Oauth. Jag går igenom detta närmare i Bli säker-bokens tionde kapitel (jag lägger ut det för gratis nedladdning på https://nikka.systems/03vd6z ). Där belyser jag också nackdelarna som gör att jag, personligen, undviker inloggningstjänster som dessa.

En aspekt som jag däremot inte lyfter upp i boken är vad som händer när användare lämnar t.ex. Facebook. Inlåsningseffekten som Open-ID och Oauth skapar gör det svårt att lämna inloggningstjänster som väl har börjat användas.

Ifall du vill se mer hur själva API-kopplingen går till från utvecklarens perspektiv kan jag rekommendera Theme My Logins bildguide som visar processen steg för steg. Se https://docs.thememylogin.com/category/112-social.

Sociala medier: @KarlEmilNikka

Trädvy Permalänk
Medlem
Plats
-
Registrerad
Jul 2002
Skrivet av Osten87:

Viktigt att poängtera är att även pass-nummer läkte. Gör ID kapning löjligt enkelt.

Oj, det var riktigt illa. Men varför ligger den infon där?

.:Wks: Cooler Master Silencio 650|Core i5 3570 3.4 GHz|Asus P8Z77-V|8 GB| GT 465|1xDell U2311H, 2xAlienware AW2210 2xEizo 19|OCZ Revo 3 Drive 120 + Raptor 150:.
.:Server: Har ett gäng :) :.
-Learn the system, Play the system, Break the system-

Trädvy Permalänk
Medlem
Plats
gbg
Registrerad
Nov 2007

Japp, det är sånt här som får en att tänka till en extra gång när man reggar nytt konto hos någon tjänst.
-Hur väl vet du egentligen att de har en bra säkerhet kring uppgifterna de lagrar om dig?
När skadan väl är ett faktum kanske det blir svårt att reversera.
Just nu liknar det mer ett High Chaparral av info på villovägar, inte minst starkt jobbar av våra egna nationella myndigheter.

Är ju måttligt imponerad över utvecklingen på mediamarknaden, alla tjänster skall vara exklusiva med egna konton, kopplingar och databaser. Vem vet hur många gånger du måste uppge personlig information om du skall får tillgång till de filmer/serier du vill ta del av?

För att påtala tillfällen när man kan tänkas ge ifrån sig kontokortsinformation frivilligt så är det väl främst när man går i köpe-tankar eller i underhållningssyfte.

Jag har själv valt att enbart handla hos några få online-butiker i avseendet att minska spridningen.
Men vem vet hur mycket av den informationen de säljer vidare till andra kedjor och bolag? Personuppgifter och positionsdata är ju hårdvaluta på vissa delar av nätet.
Vad har jag och andra kunder för garantier och vad finns det för straffskalor om de inte följer vad de lovar?

Många frågor.

Tower: ace Battle IV | CPU AMD Phenom II X2 BE unlocked 4cores@3,2GHz | RAM 8GB DDR2@800MHz | MB ASUS M4A785-M | GFK AMD Radeon HD 6850 1GB | HDD Kingston SSD Now 60GB (/) Seagate 2TB(/home) | OS Ubuntu 16.04 LTS

Trädvy Permalänk
Medlem
Plats
Huskvarna
Registrerad
Dec 2004

Ok dom har fått mina inlogg uppgifter, vad ska dom göra med det? Läsa min mail med 10k skräp post?

Skickades från m.sweclockers.com

C2D E6400 @ 3.2GHz .:|:. ASUS P5B .:|:. Corsair Dominator 8500 4x1024MB .:|:. ATI x1650pro - R.I.P 2016
i5 6500 @ 3.2GHz .:|:. Asus Z170-A .:|:. Corsair Vengeance 3200MHz 2x8GB .:|:. Nvidia 1060 6GB

Övrigt: Synology DS413J, Nvidia Shield PRO, Raspberry PI, NES, SNES mini, N64, GC, Wii U, Switch

Trädvy Permalänk
Hedersmedlem
Plats
Malmö
Registrerad
Apr 2007
Skrivet av Osten87:

Viktigt att poängtera är att även pass-nummer läkte. Gör ID kapning löjligt enkelt.

Tar med det här inlägget som referens för svaret nedan ;).

Skrivet av Mr_Torped:

Ok dom har fått mina inlogg uppgifter, vad ska dom göra med det? Läsa min mail med 10k skräp post?

Skickades från m.sweclockers.com

De verkar ha fått tag i passnummer exempelvis. IDkapning är inge vidare kul generellt.

Hoppas inte de kommit åt din mail! Det innebär att de kan ta kontroll över alla konton som är kopplade till den mailen. Går ju att beställa nytt lösenord från alla tjänster som verifieras via mailkontot.
Nu används det vanligtvis inte såhär, men i teorin kan det bli en jobbig dag om de kommer åt exempelvis tradera och de hjälper dig att lägga 4000 vinnande bud. Kommer bli en del irriterad korrespondens som följd hehe.
Har du steam på samma mail så kan det vara surt om någon tar över ditt steamkonto, fuskar i nå spel och får kontot låst.
Finns väl en uppsjö andra teoretiska följdproblem man kan få av det där med kontokapning.

Men ja, vanligen används väl användarnas inloggningsuppgifter främst som bas för att knäcka andra lösenordsdatabaser vilket man själv kan åka dit på om man återanvänt lösenord.

🖥 → Ryzen 5 2600@4,1ghz • Gainward RTX 2070 • 16GB DDR4 • MSI B450I Gaming Plus AC (mITX)
💻 → SurfacePro 3 [i5 • 4GB ddr3 • keybaord + pen]
🖱 → Corsair m65 white / ⌨ → pok3r nordic white
📱 → Oneplus6
🎧 → Sennheiser momentum wireless & Logitech g930

Trädvy Permalänk
Medlem
Plats
Huskvarna
Registrerad
Dec 2004
Skrivet av Söderbäck:

Tar med det här inlägget som referens för svaret nedan ;).

De verkar ha fått tag i passnummer exempelvis. IDkapning är inge vidare kul generellt.

Hoppas inte de kommit åt din mail! Det innebär att de kan ta kontroll över alla konton som är kopplade till den mailen. Går ju att beställa nytt lösenord från alla tjänster som verifieras via mailkontot.
Nu används det vanligtvis inte såhär, men i teorin kan det bli en jobbig dag om de kommer åt exempelvis tradera och de hjälper dig att lägga 4000 vinnande bud. Kommer bli en del irriterad korrespondens som följd hehe.
Har du steam på samma mail så kan det vara surt om någon tar över ditt steamkonto, fuskar i nå spel och får kontot låst.
Finns väl en uppsjö andra teoretiska följdproblem man kan få av det där med kontokapning.

Men ja, vanligen används väl användarnas inloggningsuppgifter främst som bas för att knäcka andra lösenordsdatabaser vilket man själv kan åka dit på om man återanvänt lösenord.

Om uppgifterna hamnar hos Kalle 16 år förstår jag att dom här exemplen är troliga. Men hat svårt att tro att någon 16 åring i sverige besitter kunskapen om att utföra en sånt här intrång.
Tror mer dom är ute efter någon ekonomisk vinning precis som vilken tjuv som helst och inget practical joke scenario.

Det som jag känner är worst case är när jag blir ekonomiskt drabbad t.ex id kapning och dom lyckas på något sätt få mig bli skyldig pengar som min hem försäkring täcker eller dom kommer åt mina kort uppgifter som både är spärrat för internet köp och försäkrade mot bedrägerier.

Måste dessutom bli en utvald på en av 100 miljoner blir jag det ska jag genast köpa en triss

Skickades från m.sweclockers.com

C2D E6400 @ 3.2GHz .:|:. ASUS P5B .:|:. Corsair Dominator 8500 4x1024MB .:|:. ATI x1650pro - R.I.P 2016
i5 6500 @ 3.2GHz .:|:. Asus Z170-A .:|:. Corsair Vengeance 3200MHz 2x8GB .:|:. Nvidia 1060 6GB

Övrigt: Synology DS413J, Nvidia Shield PRO, Raspberry PI, NES, SNES mini, N64, GC, Wii U, Switch

Trädvy Permalänk
Hedersmedlem
Plats
Malmö
Registrerad
Apr 2007
Skrivet av Mr_Torped:

Om uppgifterna hamnar hos Kalle 16 år förstår jag att dom här exemplen är troliga. Men hat svårt att tro att någon 16 åring i sverige besitter kunskapen om att utföra en sånt här intrång.
Tror mer dom är ute efter någon ekonomisk vinning precis som vilken tjuv som helst och inget practical joke scenario.

Det som jag känner är worst case är när jag blir ekonomiskt drabbad t.ex id kapning och dom lyckas på något sätt få mig bli skyldig pengar som min hem försäkring täcker eller dom kommer åt mina kort uppgifter som både är spärrat för internet köp och försäkrade mot bedrägerier.

Måste dessutom bli en utvald på en av 100 miljoner blir jag det ska jag genast köpa en triss

Skickades från m.sweclockers.com

I grunden har du en bra poäng. Även om ens konto blir hackat så lär väl de flesta inte märka av det.
Jag nämnde att det var osannolikt i förra inlägget också, men tänkte att eftersom att du nu ställde frågan så kan man ju lyfta fram vad som kan hända ;).

Sedan är det väl visserligen ganska många unga som sitter och trixar vid datorn även i dagsläget.
Tänkvärt är att dessa hackade kontolistorna inte sällan hittar ut till en större publik som gärna vill testa sina vingar så vem som försöker sig på att använda ens konton... ja det kan vara nästan vem som helst egentligen och behöver inte alls vara samma personer som gjort intrånget.

But all in all. De flesta har säkert fått något konto läckt genom åren. Jag skulle gissa på att det är bra många färre som faktiskt märkt av något precis som du säger.

🖥 → Ryzen 5 2600@4,1ghz • Gainward RTX 2070 • 16GB DDR4 • MSI B450I Gaming Plus AC (mITX)
💻 → SurfacePro 3 [i5 • 4GB ddr3 • keybaord + pen]
🖱 → Corsair m65 white / ⌨ → pok3r nordic white
📱 → Oneplus6
🎧 → Sennheiser momentum wireless & Logitech g930

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Nov 2018

Vad menar ni med "passnummer"? Inte nummer för fysiska pass, såna man har när man reser, va? För vem skulle lägga in sånt på en sida för frågor???

Moderkort: MSI Z390-A Pro | CPU: Intel Core i5-8600K@4.6 GHz | CPU-kylare: be quiet! Dark Rock Pro 4 | RAM: Corsair Vengeance 32 GB (4x8) DDR4-3000 CL15 LPX | GPU: ASUS GTX 1070 8 GB Dual OC | SSD: Kingston A400 480 GB | HDD: Seagate BC 2 TB + WD Red 4 TB | PSU: EVGA 650 W GQ Gold | Chassi: be quiet! Silent Base 801 | Skärm: Samsung SM 2433BW @ 1920x1200 | Tangentbord: Corsair K68 RGB Cherry MX Red | Mus: speedlink Calado Silent

Trädvy Permalänk
Medlem
Plats
Växjö
Registrerad
Sep 2005
Skrivet av cyklonen:

Vad menar ni med "passnummer"? Inte nummer för fysiska pass, såna man har när man reser, va? För vem skulle lägga in sånt på en sida för frågor???

Inte för Quora.

Men någon kommentar nämnde en anna läcka föra Mariott hotell. Där gällde det passnummer för fysiska pass. Det blir lite rörigt i tråden när folk kommenterar både Quora- och Mariottläckan

Mvh Milky - citera för svar
Dancase A4-SFX v2 - i7 6700k - Cryorig C7 - Corsair LPX Black 2x8 GB - MSI Z170I - Asus GTX 1080 - Corsair SF600
Köp/sälj-betyg Sweclockers marknad; 1, 2, 3, 4

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Nov 2018
Skrivet av milky81:

Inte för Quora.

Men någon kommentar nämnde en anna läcka föra Mariott hotell. Där gällde det passnummer för fysiska pass. Det blir lite rörigt i tråden när folk kommenterar både Quora- och Mariottläckan

Haha, ja, det verkar rimligt!

Moderkort: MSI Z390-A Pro | CPU: Intel Core i5-8600K@4.6 GHz | CPU-kylare: be quiet! Dark Rock Pro 4 | RAM: Corsair Vengeance 32 GB (4x8) DDR4-3000 CL15 LPX | GPU: ASUS GTX 1070 8 GB Dual OC | SSD: Kingston A400 480 GB | HDD: Seagate BC 2 TB + WD Red 4 TB | PSU: EVGA 650 W GQ Gold | Chassi: be quiet! Silent Base 801 | Skärm: Samsung SM 2433BW @ 1920x1200 | Tangentbord: Corsair K68 RGB Cherry MX Red | Mus: speedlink Calado Silent

Trädvy Permalänk
Medlem
Registrerad
Nov 2012

99,9% av användarna är väl indier