Frågesidan Quora drabbas av intrång – 100 miljoner användarkonton på vift

Permalänk
Melding Plague

Frågesidan Quora drabbas av intrång – 100 miljoner användarkonton på vift

Den populära frågesidan Quora har drabbats av ett intrång. Upp till 100 miljoner kontouppgifter kan ha läckt ut, vilket gör läckan till en av de största genom tiderna.

Läs hela artikeln här

Visa signatur

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa kan leda till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Permalänk
Medlem

Sen har vi Marriott med sina 500 Miljoner användaruppgifter som jag hörde idag från Level1

All info om hotellgästernas info namn adress etc plus krypterade betalningsinfo... grejen är att dekryperingsnycklarna kan också ha blivit stulna för kreditkorten.

https://techcrunch.com/2018/11/30/starwood-hotels-says-500-mi...

Video level1

Blir ju allt vanligare med sånt.

EDIT: Kan bli ett fall för GDPR och 4% bötesbelopp.

Permalänk

Har inte fått mail om det men fick ett meddelande när jag gick in på appen. Så fett trögt. Måste nu försöka komma ihåg om jag använt det gamla lösenordet till andra tjänster.

Permalänk
Medlem
Skrivet av kolomakatita:

Har inte fått mail om det men fick ett meddelande när jag gick in på appen. Så fett trögt. Måste nu försöka komma ihåg om jag använt det gamla lösenordet till andra tjänster.

Lika bra att gå igenom alla konton och lösenord, skaffa en lösenordshanterare och börja uppdatera infon med nya unika 12-24 teckenlösenord på varje tjänst

Visa signatur

.: Learn the system, Play the system, Break the system :.

Permalänk
Medlem

Stängde av mitt konto på Quora, riktigt uselt av dem.

Visa signatur

Min hemsida - Min YouTube-kanal
[i9 12900K] - [ASUS Prime Z690M-Plus D4 mATX] - [Corsair Vengeance LPX Black DDR4-3600 128GB] - [Cerberus mATX chassi] - [WD Black SN850X 4TB] - [SilverStone SX800-LTI] - [Noctua NH-C14S] - [2 x Huawei MateView 3:2] - [KFA2 RTX 4070 12GB]

Permalänk
Medlem
Skrivet av Mr_Lazy:

Lika bra att gå igenom alla konton och lösenord, skaffa en lösenordshanterare och börja uppdatera infon med nya unika 12-24 teckenlösenord på varje tjänst

Riktigt bra idé.

Visa signatur

Stationär: AMD Ryzen 7 7800X3D | ASUS ROG Strix B650E-F Gaming WIFI | G.Skill 32GB DDR5 6000MHz CL30 Trident Z5 Neo RGB | Gigabyte 4090 Gaming OC | BeQuiet! Dark Rock 4 Pro | Samsung 980 Pro 1TB M.2 & Intel 660P 1TB M.2 | Corsair RM850x v2 White Series | Phanteks P500A D-RGB | Acer X34GS | Corsair Strafe RGB MX Silent | Razer Deathadder v.2 | Logitech PRO X 7.1
Laptop: AMD Ryzen 7 6800HS | 16GB 4800MHz DDR5 | RTX 3060 140W | 15,6" 144Hz FHD IPS 16:9

Permalänk
Medlem
Skrivet av HappyPie:

Sen har vi Marriott med sina 500 Miljoner användaruppgifter som jag hörde idag från Level1

All info om hotellgästernas info namn adress etc plus krypterade betalningsinfo... grejen är att dekryperingsnycklarna kan också ha blivit stulna för kreditkorten.

https://techcrunch.com/2018/11/30/starwood-hotels-says-500-mi...

Blir ju allt vanligare med sånt.

Viktigt att poängtera är att även pass-nummer läkte. Gör ID kapning löjligt enkelt.

Permalänk
Skrivet av Mocka:

Riktigt bra idé.

LastPass har en funktion där det går igenom alla passord automatisk och varnar för dubbletter eller kända/svaga passord. Det kan också byta ut passorden automatiskt.

//LD

Visa signatur

http://www.earth-dog.com - Metal for Muthas - Gore for Ghouls!

Permalänk
Medlem
Skrivet av HappyPie:

Sen har vi Marriott med sina 500 Miljoner användaruppgifter som jag hörde idag från Level1

All info om hotellgästernas info namn adress etc plus krypterade betalningsinfo... grejen är att dekryperingsnycklarna kan också ha blivit stulna för kreditkorten.

https://techcrunch.com/2018/11/30/starwood-hotels-says-500-mi...

Blir ju allt vanligare med sånt.

EDIT: Kan bli ett fall för GDPR och 4% bötesbelopp.

Är redan några dagar sedan nyheten kom ut. Det hände väl typ förra året bara att de inte upptäckt det förrän nu. Vilket gör det till ett äkta skräckfall. Hackning är dåligt men att inte skydda våra uppgifter i första hand är fan värre. Speciellt med aånna mängder

Skickades från m.sweclockers.com

Permalänk
Medlem
Skrivet av aholman:

Är redan några dagar sedan nyheten kom ut. Det hände väl typ förra året bara att de inte upptäckt det förrän nu. Vilket gör det till ett äkta skräckfall. Hackning är dåligt men att inte skydda våra uppgifter i första hand är fan värre. Speciellt med aånna mängder

Skickades från m.sweclockers.com

Hackaren hade tillgång sedan 2014 i detta fall, och detta är en nyupptäckt händelse som jag har förstått.
Det du tänker på som hände för ett halv år sedan var Assalås som finns i flertalet hotell för gästrummen som hade en bakdörr? (pun intended). Ett rf-id system som var osäkert så att vem som helst kunde gå in i vilken gästrum som helt.

Permalänk
Medlem

Har hackarna ägt servrarna sedan 2014 så kan det vara väldigt svårupptäckt då det gäller för administratörerna att leta i varenda skrymsle i alla filer och script och se och förstå alla avvikelser där som har med OS och systemet att göra - det är leta nå nål i höstack bokstavligt talat.

Hur många går igenom rad för rad samtliga bash-scripter och förstår vad de faktiskt gör och letar efter tänkbara bakdörrar i tex. en Ubuntu-installation - den som gör det räcker upp en hand!

Med andra ord det är inte lätt alls och man skall nog vara i 'skrået' och vet hur hackerkulturen och de olika grupperingarna tänker för att ens ha en chans att hitta något om någon av dessa fått en fot in i servern... - mao. en före detta skicklig hacker kanske har en chans...

Att det avslöja nyligen är för att någon faktiskt brydde sig om att denne såg en aktivitet som inte borde vara just då, är närmast tur för administrationen och uppenbar slarv/misstag av hackarna som var inne i servrarna just då, skall man äga servrar så får man se till att det inte syns att man är där...

Permalänk
Medlem

Kan inte minnas att jag nånsin reggat mig på Quora.com men blir ändå spammad då och då med massa skräpfrågor.

Gick in på sidan och såg att jag var "connected" genom mitt google-konto. Borde man vara nojig eller gäller det bara folk som skapat konto och angett lösenord direkt genom Quoras hemsida?

Visa signatur

9900K - GTX 1080 ti - 64 GB - 3xXB270HU - 1xU2717DA
Yamaha HS7 - HD600 - Focusrite Clarett 8Pre - Akai MPK261 - AT2050
2x Auralex Project 2™ Roominator Kit - Multibrackets Gas Lift Quad
www.soundcloud.com/frozen_orb
www.facebook.com/FrozenOrbMusic

Permalänk
Medlem

Har många gånger läst frågor och svar där men alltid tyckt det varit bisarrt att behöva regga sig för att läsa vidare genom länkar till andra frågor. Att man behöver regga sig för att skriva accepterar jag, men fasen inte för att läsa! Så jag reggade mig inte, och skulle aldrig göra.

Visa signatur

Moderkort: Gigabyte X570 Aorus Master | CPU: AMD Ryzen R9 5900X | CPU-kylare: Noctua NH-D15 chromax.black | RAM: Corsair Vengeance LPX 64 GB (4x16) DDR4-3600 CL18 | GPU: Gigabyte RTX 4080 Eagle OC | SSD: 2 x Samsung 970 EVO Plus 1 TB NVMe + Kingston A400 480 GB + Samsung QVO860 1 TB | PSU: EVGA SuperNOVA G2 1000 W Gold | Chassi: Lian Li O11 Dynamic XL | Skärm: BenQ PD3200U @ 3840x2160 + ASUS ROG Strix XG32VQ @ 2560x1440 | Tangentbord: Corsair K68 RGB Cherry MX Red | Mus: Logitech MX Master 2S

Permalänk
Avstängd

Vad fan, loggade in där förra veckan med mitt Google-konto.. Betyder detta att hela mitt Google-konto äventyras just nu?

Permalänk
Säkerhetsutbildare
Skrivet av M1NT:

Vad fan, loggade in där förra veckan med mitt Google-konto.. Betyder detta att hela mitt Google-konto äventyras just nu?

Hej. Nejdå. Ifall du enbart har loggat in på Quora via Google eller Facebook behöver du inte ens byta några lösenord. Quora får aldrig ditt lösenord till Google eller Facebook när du loggar in med nämnda inloggningstjänster. Quora upprättar enbart en koppling till ditt Facebook- eller Google-konto för att autentisera dig (de ber Google eller Facebook att gå i god för att du är användaren som du utger dig för att vara). Du kan se alla kopplingar som är gjorda till ditt Facebook- och Google-konto från respektive kontos säkerhetsinställningar.

Permalänk
Inaktiv

säkert md5, men iaf salt på den lol

Skrivet av nikka:

Quora upprättar enbart en koppling till ditt Facebook- eller Google-konto för att autentisera dig (de ber Google eller Facebook att gå i god för att du är användaren som du utger dig för att vara).

fast hur fungerar sådana websidor? bara en API som google/facebook har full kontroll över? brukar aldrig använda dessa logins just pga säkerhetsnoja.

edit: finns ju också en risk med "fejk-logins" som ser ut att vara riktiga FB/google

Permalänk
Medlem

Är ju en stor grej det här men det verkar som att de faktiskt haft vettiga säkerhetsrutiner till skillnad från så många andra sidor. Speciellt det där med anonyma frågor och användarunika salt, även om det är MD5 så är det iallafall lite bättre än utan.

Visa signatur

11600K@5.1 GHz + 32GB Corsair Vengeance RGB PRO 3200@3400 MHz + MSI RTX 2080 Super Gaming X Trio +
WDC Blue SN550 1TB + Black OEM SN730 500GB + Kingston A1000 480GB + A2000 500GB + NV2 1TB + 2TB R10 + RGB most of THE THINGS! + Corsair 4000D Airflow + 2*ZyXEL NSA326 2*3TB @ R1 + Netgear RN2100 4*3TB @ R10 + RN204 4*4TB @ R5 + Synology DS216j 2*4TB @ SHR R1 + DS418 4*8TB @ SHR R6
| tmp: R5 3600@4.2 GHz + 32GB 2666@3066MHz + 1060 6GB@2100/4500MHz + 1 TB NV2 & 512GB SN730

Permalänk
Säkerhetsutbildare
Skrivet av anon52343:

säkert md5, men iaf salt på den lol

fast hur fungerar sådana websidor? bara en API som google/facebook har full kontroll över? brukar aldrig använda dessa logins just pga säkerhetsnoja.

edit: finns ju också en risk med "fejk-logins" som ser ut att vara riktiga FB/google

Hehe. Jag hoppas sannerligen inte det är MD5.

Google och Facebook använder en kombination av lösningarna Open-ID och Oauth. Jag går igenom detta närmare i Bli säker-bokens tionde kapitel (jag lägger ut det för gratis nedladdning på https://nikka.systems/03vd6z ). Där belyser jag också nackdelarna som gör att jag, personligen, undviker inloggningstjänster som dessa.

En aspekt som jag däremot inte lyfter upp i boken är vad som händer när användare lämnar t.ex. Facebook. Inlåsningseffekten som Open-ID och Oauth skapar gör det svårt att lämna inloggningstjänster som väl har börjat användas.

Ifall du vill se mer hur själva API-kopplingen går till från utvecklarens perspektiv kan jag rekommendera Theme My Logins bildguide som visar processen steg för steg. Se https://docs.thememylogin.com/category/112-social.

Permalänk
Medlem
Skrivet av Osten87:

Viktigt att poängtera är att även pass-nummer läkte. Gör ID kapning löjligt enkelt.

Oj, det var riktigt illa. Men varför ligger den infon där?

Visa signatur

.: Learn the system, Play the system, Break the system :.

Permalänk
Medlem

Japp, det är sånt här som får en att tänka till en extra gång när man reggar nytt konto hos någon tjänst.
-Hur väl vet du egentligen att de har en bra säkerhet kring uppgifterna de lagrar om dig?
När skadan väl är ett faktum kanske det blir svårt att reversera.
Just nu liknar det mer ett High Chaparral av info på villovägar, inte minst starkt jobbar av våra egna nationella myndigheter.

Är ju måttligt imponerad över utvecklingen på mediamarknaden, alla tjänster skall vara exklusiva med egna konton, kopplingar och databaser. Vem vet hur många gånger du måste uppge personlig information om du skall får tillgång till de filmer/serier du vill ta del av?

För att påtala tillfällen när man kan tänkas ge ifrån sig kontokortsinformation frivilligt så är det väl främst när man går i köpe-tankar eller i underhållningssyfte.

Jag har själv valt att enbart handla hos några få online-butiker i avseendet att minska spridningen.
Men vem vet hur mycket av den informationen de säljer vidare till andra kedjor och bolag? Personuppgifter och positionsdata är ju hårdvaluta på vissa delar av nätet.
Vad har jag och andra kunder för garantier och vad finns det för straffskalor om de inte följer vad de lovar?

Många frågor.

Visa signatur

Tower: ace Battle IV | CPU AMD Phenom II X2 BE unlocked 4cores@3,2GHz | RAM 8GB DDR2@800MHz | MB ASUS M4A785-M | GFK AMD Radeon HD 6850 1GB | HDD Kingston SSD Now 60GB (/) Seagate 2TB(/home) | OS Ubuntu 20.04 LTS
-Numera titulerad: "dator-hipster" då jag har en AMD GPU och dessutom kör Linux.

Permalänk

Ok dom har fått mina inlogg uppgifter, vad ska dom göra med det? Läsa min mail med 10k skräp post?

Skickades från m.sweclockers.com

Visa signatur

C2D E6400 @ 3.2GHz .:|:. ASUS P5B .:|:. Corsair Dominator 8500 4x1024MB .:|:. ATI x1650pro - R.I.P 2016
i5 6500 @ 3.2GHz .:|:. Asus Z170-A .:|:. Corsair Vengeance 3200MHz 2x8GB .:|:. Nvidia 1060 6GB

Övrigt: Synology DS413J, Nvidia Shield PRO, Raspberry PI, NES, SNES mini, N64, GC, Wii U, Switch

Permalänk
Hedersmedlem
Skrivet av Osten87:

Viktigt att poängtera är att även pass-nummer läkte. Gör ID kapning löjligt enkelt.

Tar med det här inlägget som referens för svaret nedan ;).

Skrivet av Mr_Torped:

Ok dom har fått mina inlogg uppgifter, vad ska dom göra med det? Läsa min mail med 10k skräp post?

Skickades från m.sweclockers.com

De verkar ha fått tag i passnummer exempelvis. IDkapning är inge vidare kul generellt.

Hoppas inte de kommit åt din mail! Det innebär att de kan ta kontroll över alla konton som är kopplade till den mailen. Går ju att beställa nytt lösenord från alla tjänster som verifieras via mailkontot.
Nu används det vanligtvis inte såhär, men i teorin kan det bli en jobbig dag om de kommer åt exempelvis tradera och de hjälper dig att lägga 4000 vinnande bud. Kommer bli en del irriterad korrespondens som följd hehe.
Har du steam på samma mail så kan det vara surt om någon tar över ditt steamkonto, fuskar i nå spel och får kontot låst.
Finns väl en uppsjö andra teoretiska följdproblem man kan få av det där med kontokapning.

Men ja, vanligen används väl användarnas inloggningsuppgifter främst som bas för att knäcka andra lösenordsdatabaser vilket man själv kan åka dit på om man återanvänt lösenord.

Visa signatur

🎮 → Node 304 • Ryzen 5 2600 + Nh-D14 • Gainward RTX 2070 • 32GB DDR4 • MSI B450I Gaming Plus AC
🖥️ → Acer Nitro XV273K Pbmiipphzx • 🥽 → VR: Samsung HMD Odyssey+
🎧 → Steelseries arctic 7 2019
🖱️ → Logitech g603 | ⌨️ → Logitech MX Keys
💻 → Lenovo Yoga slim 7 pro 14" Oled

Permalänk
Skrivet av Söderbäck:

Tar med det här inlägget som referens för svaret nedan ;).

De verkar ha fått tag i passnummer exempelvis. IDkapning är inge vidare kul generellt.

Hoppas inte de kommit åt din mail! Det innebär att de kan ta kontroll över alla konton som är kopplade till den mailen. Går ju att beställa nytt lösenord från alla tjänster som verifieras via mailkontot.
Nu används det vanligtvis inte såhär, men i teorin kan det bli en jobbig dag om de kommer åt exempelvis tradera och de hjälper dig att lägga 4000 vinnande bud. Kommer bli en del irriterad korrespondens som följd hehe.
Har du steam på samma mail så kan det vara surt om någon tar över ditt steamkonto, fuskar i nå spel och får kontot låst.
Finns väl en uppsjö andra teoretiska följdproblem man kan få av det där med kontokapning.

Men ja, vanligen används väl användarnas inloggningsuppgifter främst som bas för att knäcka andra lösenordsdatabaser vilket man själv kan åka dit på om man återanvänt lösenord.

Om uppgifterna hamnar hos Kalle 16 år förstår jag att dom här exemplen är troliga. Men hat svårt att tro att någon 16 åring i sverige besitter kunskapen om att utföra en sånt här intrång.
Tror mer dom är ute efter någon ekonomisk vinning precis som vilken tjuv som helst och inget practical joke scenario.

Det som jag känner är worst case är när jag blir ekonomiskt drabbad t.ex id kapning och dom lyckas på något sätt få mig bli skyldig pengar som min hem försäkring täcker eller dom kommer åt mina kort uppgifter som både är spärrat för internet köp och försäkrade mot bedrägerier.

Måste dessutom bli en utvald på en av 100 miljoner blir jag det ska jag genast köpa en triss

Skickades från m.sweclockers.com

Visa signatur

C2D E6400 @ 3.2GHz .:|:. ASUS P5B .:|:. Corsair Dominator 8500 4x1024MB .:|:. ATI x1650pro - R.I.P 2016
i5 6500 @ 3.2GHz .:|:. Asus Z170-A .:|:. Corsair Vengeance 3200MHz 2x8GB .:|:. Nvidia 1060 6GB

Övrigt: Synology DS413J, Nvidia Shield PRO, Raspberry PI, NES, SNES mini, N64, GC, Wii U, Switch

Permalänk
Hedersmedlem
Skrivet av Mr_Torped:

Om uppgifterna hamnar hos Kalle 16 år förstår jag att dom här exemplen är troliga. Men hat svårt att tro att någon 16 åring i sverige besitter kunskapen om att utföra en sånt här intrång.
Tror mer dom är ute efter någon ekonomisk vinning precis som vilken tjuv som helst och inget practical joke scenario.

Det som jag känner är worst case är när jag blir ekonomiskt drabbad t.ex id kapning och dom lyckas på något sätt få mig bli skyldig pengar som min hem försäkring täcker eller dom kommer åt mina kort uppgifter som både är spärrat för internet köp och försäkrade mot bedrägerier.

Måste dessutom bli en utvald på en av 100 miljoner blir jag det ska jag genast köpa en triss

Skickades från m.sweclockers.com

I grunden har du en bra poäng. Även om ens konto blir hackat så lär väl de flesta inte märka av det.
Jag nämnde att det var osannolikt i förra inlägget också, men tänkte att eftersom att du nu ställde frågan så kan man ju lyfta fram vad som kan hända ;).

Sedan är det väl visserligen ganska många unga som sitter och trixar vid datorn även i dagsläget.
Tänkvärt är att dessa hackade kontolistorna inte sällan hittar ut till en större publik som gärna vill testa sina vingar så vem som försöker sig på att använda ens konton... ja det kan vara nästan vem som helst egentligen och behöver inte alls vara samma personer som gjort intrånget.

But all in all. De flesta har säkert fått något konto läckt genom åren. Jag skulle gissa på att det är bra många färre som faktiskt märkt av något precis som du säger.

Visa signatur

🎮 → Node 304 • Ryzen 5 2600 + Nh-D14 • Gainward RTX 2070 • 32GB DDR4 • MSI B450I Gaming Plus AC
🖥️ → Acer Nitro XV273K Pbmiipphzx • 🥽 → VR: Samsung HMD Odyssey+
🎧 → Steelseries arctic 7 2019
🖱️ → Logitech g603 | ⌨️ → Logitech MX Keys
💻 → Lenovo Yoga slim 7 pro 14" Oled

Permalänk
Medlem

Vad menar ni med "passnummer"? Inte nummer för fysiska pass, såna man har när man reser, va? För vem skulle lägga in sånt på en sida för frågor???

Visa signatur

Moderkort: Gigabyte X570 Aorus Master | CPU: AMD Ryzen R9 5900X | CPU-kylare: Noctua NH-D15 chromax.black | RAM: Corsair Vengeance LPX 64 GB (4x16) DDR4-3600 CL18 | GPU: Gigabyte RTX 4080 Eagle OC | SSD: 2 x Samsung 970 EVO Plus 1 TB NVMe + Kingston A400 480 GB + Samsung QVO860 1 TB | PSU: EVGA SuperNOVA G2 1000 W Gold | Chassi: Lian Li O11 Dynamic XL | Skärm: BenQ PD3200U @ 3840x2160 + ASUS ROG Strix XG32VQ @ 2560x1440 | Tangentbord: Corsair K68 RGB Cherry MX Red | Mus: Logitech MX Master 2S

Permalänk
Medlem
Skrivet av cyklonen:

Vad menar ni med "passnummer"? Inte nummer för fysiska pass, såna man har när man reser, va? För vem skulle lägga in sånt på en sida för frågor???

Inte för Quora.

Men någon kommentar nämnde en anna läcka föra Mariott hotell. Där gällde det passnummer för fysiska pass. Det blir lite rörigt i tråden när folk kommenterar både Quora- och Mariottläckan

Visa signatur

Mvh Milky - citera för svar
Fractal Meshify C - Ryzen 7 7800X3D - Thermalright Peerless Assassin 120SE - Kingston Fury Beast 6000 MHz 2x16 GB - Asus TUF Gaming B650-Plus - AMD 7900 XTX - Corsair RM1000X Shift
Köp/sälj-betyg Sweclockers marknad; 1, 2, 3, 4, 5

Permalänk
Medlem
Skrivet av milky81:

Inte för Quora.

Men någon kommentar nämnde en anna läcka föra Mariott hotell. Där gällde det passnummer för fysiska pass. Det blir lite rörigt i tråden när folk kommenterar både Quora- och Mariottläckan

Haha, ja, det verkar rimligt!

Visa signatur

Moderkort: Gigabyte X570 Aorus Master | CPU: AMD Ryzen R9 5900X | CPU-kylare: Noctua NH-D15 chromax.black | RAM: Corsair Vengeance LPX 64 GB (4x16) DDR4-3600 CL18 | GPU: Gigabyte RTX 4080 Eagle OC | SSD: 2 x Samsung 970 EVO Plus 1 TB NVMe + Kingston A400 480 GB + Samsung QVO860 1 TB | PSU: EVGA SuperNOVA G2 1000 W Gold | Chassi: Lian Li O11 Dynamic XL | Skärm: BenQ PD3200U @ 3840x2160 + ASUS ROG Strix XG32VQ @ 2560x1440 | Tangentbord: Corsair K68 RGB Cherry MX Red | Mus: Logitech MX Master 2S

Permalänk

99,9% av användarna är väl indier