Quora se fait dérober des informations sur 100 millions d'utilisateurs, Réactions à la publication du 04/12/2018

[Lionel]

Quora a annoncé qu'une attaque sur ses serveurs a permis à des pirates d'accéder aux données de 100 millions d'utilisateurs:

Nous avons récemment découvert que certaines données utilisateur étaient compromises à la suite d’un accès non autorisé à l’un de nos systèmes par un tiers malveillant. Nous travaillons rapidement pour enquêter davantage sur la situation et prendre les mesures appropriées pour prévenir de tels incidents à l'avenir....

Vendredi, nous avons découvert que certaines données utilisateur avaient été compromises par un tiers ayant obtenu un accès non autorisé à l'un de nos systèmes. Nous sommes toujours à la recherche des causes précises et, en plus des travaux menés par nos équipes de sécurité internes, nous avons retenu les services d'une société de criminalistique numérique et de sécurité de premier plan. Nous avons également informé les autorités...


Pour environ 100 millions d'utilisateurs Quora, les informations suivantes ont peut-être été compromises:
- Informations de compte, par exemple nom, adresse e-mail, mot de passe crypté (haché), données importées à partir de réseaux liés lorsqu'elles sont autorisées par les utilisateurs
- Contenu et actions publics, par exemple questions, réponses, commentaires, upvotes
- Contenu et actions non publics, par exemple demandes de réponse, votes négatifs, messages directs (notez qu'un faible pourcentage d'utilisateurs de Quora ont envoyé ou reçu de tels messages)
- Les questions et réponses écrites anonymement ne sont pas affectées par cette violation, car nous ne conservons pas l'identité des personnes qui publient du contenu anonyme.

La société a annoncé être en train d'informer ses utilisateurs et les forcer à changer leurs mots de passe.

Lien vers le billet original

[yponomeute]

Nous avons récemment découvert que certaines données utilisateur étaient compromises à la suite d’un accès non autorisé à l’un de nos systèmes par un tiers malveillant.

Récemment découvert...
C'est inquiétant comme formulation. Ils ont découvert ça par hasard ?

[lionel2]

J'ai reçu cet email ce matin.
A vrai dire je ne savais meme plus que j'avais un compte chez eux...

[manu chao]

- Les questions et réponses écrites anonymement ne sont pas affectées par cette violation, car nous ne conservons pas l'identité des personnes qui publient du contenu anonyme.

Ça montre encore une fois que la meilleure protection contre cette sorte de piratage pour les entreprises concernées est de retenir le plus petits nombre d'information de ces utilisateurs.

[marc_os]

C'est quoi Quora ?
Oui je sais, j'ai qu'à chercher. Mais quand même, ... ah oui c'est vrai, j'oubliais.

Edit:
Bon, leur site dit : « Un lieu pour partager le savoir et mieux comprendre le monde. » ou bien « La mission de Quora est de partager et d’enrichir le savoir du monde. » Et beh, rien que ça ? Quelle ambition !
C'est qui ? Aucune idée, je n'ai pas encore trouvé la page qui le dit. Mais vu que certaines pages ne sont pas traduites, on dirait bien que c'est un machin anglophone...
Dans la page Défis, on trouve : « At Quora, we have aggregate graphs that track the number of upvotes we get each day. »
Bon, ça fait des stats sur des upvotes... C'est quoi c'est « upvotes » ?....
Bref, ce machin m'a l'air déjà plus que douteux en soit !
Je continue à chercher... Qui c'est ? En tous cas c'est pas la page Contacts qui le dit non plus, surtout qu'elle ne permet pas de contacter Quora !
Dernière remarque : De la page "contacts", on peut aller vers une autre page contacts... qui permet d'envoyer une « demande »...
Bref, jamais je ne ferais confiance à ce genre d'entreprise qui avance plus que masquée. Alors qu'ils se fassent « dérober » de données utilisateur, rien d'étonnant pour moi vu qu'ils ne me semblent pas fiables pour un sou. Et la remarque de lionel2 qui vient de découvrir qu'il avait un compte chez eux conforte mon sentiment que cette boite ne soit elle même pas fiable du tout.
En plus, j'ai voulu voir comment je pourrais mieux comprendre le monde et poser une question, mais on ne peut pas utiliser ce site sans donner son e-mail ou compte FaceBook ou Google ! Donc déjà, ça m'a tout l'air de rien d'autre qu'un aspirateur à données « personnelles »....

Qui c'est ? La page emplois donne finalement une petite piste :
Quora Headquarters is located in downtown Mountain View, California close to US-101 and I-280 freeways. Every team member receives an annual Caltrain Go Pass and we also have parking onsite.

Tiens, tiens....
Quora, the site you probably didn't know you had an account for, has been hacked.
Plus je lis, plus je trouve des choses pas très catholiques à leur sujet :
What's more, there have been some reports that Quora was creating profiles for users based off their linked accounts without their knowledge.

Bon, j'ai pas que ça à faire. Si d'autres ont envie de remonter le fil, par exemple aller voir qui se trouve près des freeways 101 et I-280 à Mountain View, je leur laisse ce plaisir.

Ce message a été modifié par marc_os - 4 Dec 2018, 11:34.

[malloc]

C’est une sorte de succcesseur de Yahoo Questions, très populaire outre Atlantique

On pose une question, d’autres utilisateurs répondent et par le jeu des Upvotes, les meilleures réponses (souvent écrites par des spécialistes) tendent à être mises en avant.

Une sorte de stackOverflow pour les questions non-informatiques.
On y trouve de bonnes informations.

[Sethy]

Bah, c'est typique.

Le poste sécurité est celui qui est systématiquement négligé.

Alors oui, certes, ça coute de doubler le nombre de serveurs, de déporter les données critiques dans une autre DB qui n'est pas accessible immédiatement depuis la DMZ.

Mais bon, voilà ...

[iAPX]

...
Pour environ 100 millions d'utilisateurs Quora, les informations suivantes ont peut-être été compromises:
- Informations de compte, par exemple nom, adresse e-mail, mot de passe crypté (haché), données importées à partir de réseaux liés lorsqu'elles sont autorisées par les utilisateurs
...

"... the passwords were encrypted (hashed with a salt that varies for each user)" - Quora

Je viens de recevoir l'email, les mots-de-passe sont donc hachés et salés individuellement (non juste hachés), mais sans indication de la force ça pourrait tout aussi bien être un sel de 3 caractères avec du md5()
De toute façon le sel étant stocké avec (ou dérivé d'une information immutable du compte), les assaillants l'ont très certainement, et tous les passes faibles ont déjà du être trouvés, soit 20 à 30 millions de comptes!

Il faut noter qu'il leur aura fallu près de 72 heures pour envoyer l'email, qu'ils ne listent pas exhaustivement les informations potentiellement fournies (sont gênés de révéler tout ce qu'ils ont pompé de Facebook ), qu'ils n'ont pas encore identifiés les comptes touchés (si c'est vraiment possible), qu'ils n'ont donc pas fait de réinitialisation de mots-de-passes pour ceux dont ils ne sont pas sûr: lents et ils font les choses à l'envers pour protéger leur cul plutôt que protéger leurs utilisateurs!!!

Une véritable culture où la sécurité de l'usager passe après celle de l'entreprise, laissant ainsi le temps aux attaquants de trouver les passes faibles et les exploiter.

Ce message a été modifié par iAPX - 4 Dec 2018, 13:33.

[g4hd]

C'est quoi Quora ?

Merci d'avoir un peu fouillé dans cette décharge publique…
Ce que tu as aperçu me suffit amplement…
Ce qui est juste chiant c'est qu'il semble possible d'y être fiché à son insu et pas du tout de son plein gré.

[iAPX]

C'est quoi Quora ?

Merci d'avoir un peu fouillé dans cette décharge publique…
Ce que tu as aperçu me suffit amplement…
Ce qui est juste chiant c'est qu'il semble possible d'y être fiché à son insu et pas du tout de son plein gré.

Exactement, comme pour la plupart des sites offrant une connexion via Facebook, en récupérant alors pleins d'informations privées, mais aussi les "Amis" Facebook au passage.

Et c'est pour ça qu'ils ne veulent pas lister les informations qu'ils possèdent: ils en possèdent bien trop!

Côté RGPD ils sont totalement hors-la-loi, incluant dans le cadre de cette fuite d'information, à cause de la fuite elle-même, mais aussi de la lenteur à réagir.

Ce message a été modifié par iAPX - 4 Dec 2018, 14:15.

[g4hd]

C'est quoi Quora ?

Merci d'avoir un peu fouillé dans cette décharge publique…
Ce que tu as aperçu me suffit amplement…
Ce qui est juste chiant c'est qu'il semble possible d'y être fiché à son insu et pas du tout de son plein gré.

Exactement, comme pour la plupart des sites offrant une connexion via Facebook, en récupérant alors pleins d'informations privées, mais aussi les "Amis" Facebook au passage.

Et c'est pour ça qu'ils ne veulent pas lister les informations qu'ils possèdent: ils en possèdent bien trop!

Côté RGPD ils sont totalement hors-la-loi, incluant dans le cadre de cette fuite d'information, à cause de la fuite elle-même, mais aussi de la lenteur à réagir.

C'est exactement pour cela que je REFUSE d'avoir un compte Facebook : au quotidien je VOIS les sites auxquels on ne peut accéder que par ce trou de balle merdeux.
Ce qui me met en rage ce sont les sites officiels (mairies, annonces, préfectures et autres services sociaux) qui veulent la jouer d'jeuns en arborant un accès Facebook.
On a des édiles de la Fonction Publique qui sont carrément des crétins…

Ce sont les mêmes qui veulent nous fourguer de bagnoles électriques et n'imaginent même pas pourquoi on peut être contre.

[eagle6]

C'est quoi Quora ?

Merci d'avoir un peu fouillé dans cette décharge publique…
Ce que tu as aperçu me suffit amplement…
Ce qui est juste chiant c'est qu'il semble possible d'y être fiché à son insu et pas du tout de son plein gré.

Exactement, comme pour la plupart des sites offrant une connexion via Facebook, en récupérant alors pleins d'informations privées, mais aussi les "Amis" Facebook au passage.

Et c'est pour ça qu'ils ne veulent pas lister les informations qu'ils possèdent: ils en possèdent bien trop!

Côté RGPD ils sont totalement hors-la-loi, incluant dans le cadre de cette fuite d'information, à cause de la fuite elle-même, mais aussi de la lenteur à réagir.

C'est exactement pour cela que je REFUSE d'avoir un compte Facebook : au quotidien je VOIS les sites auxquels on ne peut accéder que par ce trou de balle merdeux.
Ce qui me met en rage ce sont les sites officiels (mairies, annonces, préfectures et autres services sociaux) qui veulent la jouer d'jeuns en arborant un accès Facebook.
On a des édiles de la Fonction Publique qui sont carrément des crétins…

Ce sont les mêmes qui veulent nous fourguer de bagnoles électriques et n'imaginent même pas pourquoi on peut être contre.

+1
Comme pour ma commune qui n'a même plus de site officiel et qui semble même plus avoir son nom de domaine depuis un an. Tout passe via leur page Facebook, et pour les anti facebook on fait comment pour avoir les infos, les démarches ? Je me demande encore où vont mes impôts je vous parle d'une commune de près de 4000 habitants non loin de Paris et avec une gare...

[DefKing]

C'est quoi Quora ?

Merci d'avoir un peu fouillé dans cette décharge publique…
Ce que tu as aperçu me suffit amplement…
Ce qui est juste chiant c'est qu'il semble possible d'y être fiché à son insu et pas du tout de son plein gré.

Exactement, comme pour la plupart des sites offrant une connexion via Facebook, en récupérant alors pleins d'informations privées, mais aussi les "Amis" Facebook au passage.

Et c'est pour ça qu'ils ne veulent pas lister les informations qu'ils possèdent: ils en possèdent bien trop!

Côté RGPD ils sont totalement hors-la-loi, incluant dans le cadre de cette fuite d'information, à cause de la fuite elle-même, mais aussi de la lenteur à réagir.

Adobe fait la même chose avec PhotoShop Express pour iPhone. Il faut passer par FaceBook pour le faire fonctionner.J'ai ouvert un compte sans rien mettre dessus et quasiment tous les jours j'ai un message m'engageant à ajouter des renseignements sur moi et me proposant aussi des amis !

Ce message a été modifié par DefKing - 5 Dec 2018, 08:13.