The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Взлом инфраструктуры Quora привёл к утечке хэшей паролей 100 млн пользователей

04.12.2018 10:08

Социальная сеть Quora, специализирующаяся на обмене знаниями и ответах на вопросы, раскрыла сведения об инциденте, произошедшем 30 ноября, в результате которого неизвестные злоумышленники получили неавторизированный доступ к серверам инфраструктуры проекта.

В результате взлома в руки атакующих попали параметры учётных записей приблизительно 100 млн пользователей, а также приватная переписка, неопубликованные заметки и данные экспортированные из других социальных сетей (адресные книги). В том числе атакующие получили доступ к хэшам паролей пользователей (метод хэширования не сообщается) и указанным в профиле персональным данным, таким как ФИО, адрес, телефон и email.

  1. Главная ссылка к новости (https://blog.quora.com/Quora-S...)
  2. OpenNews: Взлом инфраструктуры компании Dell. Ряд массовых утечек персональных данных
  3. OpenNews: Атака на биржу криптовалюты через взлом счётчика StatCounter
  4. OpenNews: Проект Gentoo опубликовал отчёт о взломе своих репозиториев на GitHub
  5. OpenNews: Сообщение о взломе LinuxForums.org и утечке 275 тысяч учётных записей
  6. OpenNews: Критическая уязвимость и массовые взломы хостинг-панели VestaCP
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: quora, hash, password
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (51) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноим (?), 10:18, 04/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    А стоит ли указывать при регистрации в подобных проектах реальные данные?
     
     
  • 2.4, A.Stahl (ok), 10:30, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Почему нет? Телефон оставлять бессмысленно на таких сайтах, а ФИО вполне можно.

    Да и не все стремятся к анонимности. Иногда наоборот имеет смысл подчеркнуть что вот эта толковая статья написана именно этим человеком.

     
     
  • 3.19, Попугай Кеша (?), 12:24, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • –5 +/
    "Да и не все стремятся к анонимности."
    Большинство

    "ногда наоборот имеет смысл подчеркнуть что вот эта толковая статья написана именно этим человеком."
    Каждый считает себя пупом земли, а как же!

    Анонимность - это что-то в конце 90-х было, в начале 2000-х, когда себе никнеймы придумывали и общались на форумах. И было хорошо

     
     
  • 4.26, Crazy Alex (ok), 13:44, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Большинство как раз к ней ни черта не стремится.

    А Quora - это и о репутации в том числе, анонимность там не особо в кассу.

     
  • 3.22, Аноним (22), 13:20, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Телефон оставлять бессмысленно

    то-то в последнее время почти ни на каком мало-мальски серьёзном сайте невозможно зарегаца без смс

     
     
  • 4.46, лютый лютик_ (?), 09:46, 05/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    спешиалли фор Ю, smska.net
     
  • 4.48, Аноним (-), 17:38, 05/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > то-то в последнее время почти ни на каком мало-мальски серьёзном сайте невозможно
    > зарегаца без смс

    Ну так для этого и развелось толпа сервисов предлагающих временные почтовые ящики и смски. Так что потом могут спамить до упора и сливать кому угодно.

     
     
  • 5.53, Alex (??), 20:09, 09/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И, может статься, восстанавливать ваши пароли.
     
  • 2.6, товарищ майор (?), 10:37, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    конечно стоит - анонимные прожекты у нас запрещены, что подобные, что бесподобные.
     
     
  • 3.8, Andrey Mitrofanov (?), 10:56, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >прожекты у нас запрещены,

    Майор, просто запрети прожекты по 100млн пользуемых и не умничай.

     
     
  • 4.11, товарищ майор (?), 11:43, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ты с ума сошел? А где я буду собирать, хранить, и аккуратно получать если родина скажет надо, всю эту информацию для э...оперативно-розыскных мероприятий, да, точно для них ?

    Твоих копеечных налогов, которые ты еще и норовишь все время недоплатить, даже на уродскую яровую посевную не хватило (там попробуй еще разбери эти тонны raw мусора и покопай среди них хоть что-то за что привлечь можно). А тут все сделано за нас, исключительно для борьбы со спамом, соблюдения CoC и создания доверительной обстановки.

    Времена микрофонов под столиками уютных кафешек - прошлый век.

     
     
  • 5.14, user (??), 12:01, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >родина

    не родина, а враги родины

     
  • 5.15, КГБ СССР (?), 12:02, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Времена микрофонов под столиками уютных кафешек - прошлый век.

    Совершенно верно, товарищ майор. Микрофоны должны быть снабжены телекамерами, а трансляция изображения и звука — синхронизированы.

     
     
  • 6.17, Попугай Кеша (?), 12:22, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А еще в туалетную бумагу тоже должны быть встроены микрокамеры и микрофоны. Чтобы все под запись
     
     
  • 7.25, Аноним (22), 13:38, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Уже придумано. П-120 "пейперпол" от Скотт пэйперс мэнюфэкчурин ;)
     
  • 7.49, Аноним (-), 17:41, 05/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А еще в туалетную бумагу тоже должны быть встроены микрокамеры и микрофоны.
    > Чтобы все под запись

    Вообще-то сейчас в моде искусственный интеллект и камеры сверхвысокого разрешения. Поэтому если ты удумаешь в клубе сделать что-то такое с симпатичной девочкой именно там, ИИ это дело вычислит - и секурити тебе как раз весь кайф то и обломают.

     
  • 6.32, dango (ok), 15:06, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А пользователи должны быть уже пронумерованы и сидеть в отдельных камерах. А то ехать за ними - лишняя трата бумаги и горючего.
     
     
  • 7.35, КГБ СССР (?), 16:45, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А пользователи должны быть уже пронумерованы и сидеть в отдельных камерах. А
    > то ехать за ними - лишняя трата бумаги и горючего.

    Именно. Сидят и намыливают свои верёвки, коротают время перед главным событием жизни.

     
  • 7.41, Аноним (41), 19:29, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А пользователи должны быть уже пронумерованы и сидеть в отдельных камерах.

    В контейнерах!

     
     
  • 8.50, Аноним (-), 17:42, 05/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Эцих С гвоздями ... текст свёрнут, показать
     
  • 7.44, vitektm (?), 07:25, 05/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вечером и так все (90%) сидят по своим камерам и номер/адрес у них тоже есть
     
     
  • 8.51, Аноним (-), 17:43, 05/12/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Дом и камера отличаются, в общем то, вопросом у кого ключ от двери Это и электр... текст свёрнут, показать
     
  • 7.52, тов. майор (?), 18:38, 07/12/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А пользователи должны быть уже пронумерованы и сидеть в отдельных камерах.

    к этому и идем, но они ж должны сперва на свои деньги и из своего материала построить себе камеры, причем не абы как, а надежные и нами одобренные, чтобы не разбежались уже.

     
  • 3.13, user (??), 11:58, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    у вас запрещены, вы и указывайте
     
  • 3.18, Попугай Кеша (?), 12:22, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Придумай псевдоним и регься везде. Будешь Василий Кукушкин.
     
  • 2.10, тоже Аноним (ok), 11:42, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А зачем указывать при регистрации в любых проектах реальные данные?

    Obvious fix.

     
     
  • 3.27, Crazy Alex (ok), 13:49, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Затем, чтобы предлагая свои услуги (или когда тебе понадобятся чьи-то услуги) тебя могли загуглить и увидеть, что ты вообще существуешь (и давно), что у тебя есть реальные достижения и так далее.

    Для меня самого открытием стало :-) Просто надо думать, где именно регаешься с реальными данными и что в сеть выкладываешь. Но в целом - это необходимость иногда. Самый простой пример - консультант по каким-то вопросам, ему есть смысл как можно шире раскидывать информацию о себе с примерами того, что он может. И фото придётся реальное ставить, а не котика или анимешную девочку.

     
     
  • 4.28, тоже Аноним (ok), 14:21, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну естественно, имеется в виду не визитка или портфолио, которые ты создаешь себе сам, а данные, которые при регистрации хотят выудить у тебя. Ссылки на какой-нибудь LinkedIn в подписи - за глаза. Даже если хочется выставить свои контакты.
     
  • 4.42, пох (?), 19:29, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Затем, чтобы предлагая свои услуги (или когда тебе понадобятся чьи-то услуги) тебя
    > могли загуглить и увидеть, что ты вообще существуешь (и давно), что
    > у тебя есть реальные достижения и так далее.

    для этого совершенно неважно, существуешь ты под ником или вообще ооо ромашка. (второе, впрочем, показывает наличие кучи документов и время-деньгозатрат на их оформление или покупку)
    А когда мне понадобятся чьи-то услуги - я постараюсь заполнить все поля мусором - потому что я тебе плачу деньги, и этого вполне достаточно, без моих паспортных данных как-нибудь обойдешься. Иначе у меня возникнут обоснованные подозрения, мне ли и те ли ты услуги на самом деле продаешь.

    > - это необходимость иногда. Самый простой пример - консультант по каким-то
    > вопросам, ему есть смысл как можно шире раскидывать информацию о себе
    > с примерами того, что он может. И фото придётся реальное ставить,

    если консультант не по вопросам макияжа - и его выбирают по фото - у меня крайне хреновое предчувствие о судьбе его профессии.

    И с портфолио да, обычно проблемы возникают не только у консультантов, но и у вполне крупных компаний - ну вот не дают приличные клиенты, которыми ты мог бы вполне гордиться, тебе разрешения на публикацию их имени. И правильно делают.

     
  • 2.40, ползкрокодил (?), 19:23, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Там иначе нельзя. R/O можно сидеть кем хочешь, но если начнёшь что-то постить — аккаунт отправляется на проверку, потребуют ссылки на аккаунты в соцсетях или фото документов.
     

  • 1.2, Аноним (2), 10:25, 04/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    >метод хэширования не сообщается

    Стыдно :D

     
  • 1.3, snyan (?), 10:28, 04/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А, это тот самый отвратительный сайт, на котором постят машинные переводы вопросов-ответов с stackoverflow, только ещё и SEO лучше? Поделом.
     
     
  • 2.5, blzz (?), 10:32, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • +9 +/
    путаешь с qaru.site
     
     
  • 3.24, Аноним (24), 13:28, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я после появления этого... кхм, сайта перестал искать на русском.
     
     
  • 4.34, Аноним (34), 15:39, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем ты вообще искал на русском?
     
     
  • 5.38, ползкрокодил (?), 19:20, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Когда-то в рунете было полно форумов с полезной инфой, порой даже таких, которых не было у буржуев и с которых сами буржуи брали и переводили контент. Сейчас, увы, это всё сворачивается — кто позакрывался, где просто мёртвая тишина стоит.
     
  • 3.29, Stax (ok), 14:41, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Любителям почитать переводы stackoverflow больше qaru.site не актуален - там приходится через зеркало читать! Сейчас сделали более нормальный https://stackoverrun.com/
     
     
  • 4.43, трурль (?), 02:03, 05/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да их уже с десяток развелось, очередной рак интернетов.
     

  • 1.7, Аноним (7), 10:51, 04/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как отработает закон о защите персональных данных в таком случае?
     
     
  • 2.12, EnemyOfDemocracy (?), 11:57, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Как обычно в условиях рыночной экономической идеологии. Проблемы товара продаванов не --ут. А пользователь -- это не только ценный мех, но и 3-4 кб персоналных данных.
     
     
  • 3.16, Попугай Кеша (?), 12:21, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Все правильно. Хомяки должны страдать и учиться
     
     
  • 4.36, Аноним (36), 16:48, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    страдают все, даже те, кто сохранил информацию о себе
     
  • 4.45, Q2W (?), 08:34, 05/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Все правильно. Хомяки должны страдать и учиться

    А тебе с такой формулировкой вместе с гландами почку вырежут.

     

  • 1.9, Аноним (-), 11:28, 04/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Quora говно, а не сайт. Постоянно требует регистрации.
     
     
  • 2.30, Stax (ok), 14:42, 04/12/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вы думаете это случайность, что требует регистрации, а потом 100 млн личных данных "утекают"?

    Они на этих личных данных зарабатывают! Потому и просят с такой настырностью.

     

  • 1.21, Аноним (21), 13:03, 04/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    ссылка на torrent где?
     
  • 1.23, Аноним (24), 13:27, 04/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Вот если бы переписали на расте...
     
  • 1.33, Аноним (34), 15:38, 04/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Многие данные и так можно было открыто посмотреть.
     
  • 1.39, ползкрокодил (?), 19:21, 04/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Мне казалось, мода обзывать всё подряд социальными сетями сдохла лет 5 назад. Но автора, похоже, мёртвые журналисты покусали.
     
  • 1.47, Аноним (47), 10:07, 05/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Что-то часто стали ломать, то делл, то куора и т.д.
    Так что ждите очень скоро инфраструктура мелкомягких взломана, все данные всех пользователей ведра
    попали в общий доступ(все пароли, вся личная переписка, все данные любых аккаунтов, данные интернет банкинга и т.д.=)))
     
  • 1.54, nuclearcat (?), 03:00, 11/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как раз вот в этом году зарегистрировался на сайте, но фамилию писать не стал.
    Начал отвечать на вопросы, помогать людям.
    Нарисовался какой-то нехороший человек из модераторов и заморозил аккаунт, типа не указаны полные данные. Снес аккаунт за месяц до этого инцидента (27 октября).

    Текст их хотелки звучал так:
    Quora Moderation flagged your profile as not conforming to Quora's Real Name Policy.

    Quora Moderation blocked you from editing on Quora for this reason:

    Blocked from editing due to an unverified name. For more information, see Quora's policy on using real names: Do I have to use my real name on Quora? What is Quora's 'real names' policy?.

    Some primary reasons for a name to be flagged as unverified are:
    • Names that are in non-Latin alphabet languages
    • Including titles in your name, such as "Dr." or "Ms."
    • Improper capitalization

    In order to remove this block, you will need to edit your name to show your full first and last name.

    И какого лешего им хочется мое полное имя? В случае потенциального инцидента который тянет статью УК - мое имя и так узнают органы по офиц запросу.
    Не офигели ли они с такими хотелками? Это совершенно необязательно для того, чтобы помогать друг другу.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру