Hackean 100 millones de cuentas de Quora, el Yahoo! Respuestas inglés

Quora es la 95ª página web más visitada de la red en la actualidad, acumulando 700 millones de visitas mensuales. Esta página tiene un funcionamiento similar al de Yahoo! Respuestas, pero a nivel mundial y en inglés, donde la gente hace preguntas y los usuarios las vas respondiendo.

Quora ha sido hackeado: 100 millones de cuentas expuestas

La web fue lanzada al publico en 2010, y desde entonces no han parado de crecer. Sin embargo, el hecho de ser tan grande no les inmuniza ante vulnerabilidades o a que sus datos queden expuestos. Así, la compañía descubrió el pasado viernes 30 de noviembre una brecha de seguridad que ha expuesto los datos de 100 millones de usuarios a terceros no autorizados.

La compañía ha contactado con las autoridades y ha contratado a una empresa de analítica forense para determinar cómo ocurrió la brecha de seguridad y quién ha llevado a cabo el ataque. Entre los datos que fueron expuestos de los 100 millones de usuarios se encuentran:

Información de la cuenta: nombre, email, contraseña cifrada y datos importados de redes asociadas
Contenido público del perfil: preguntas, respuestas, comentarios y votos
Contenido no público: peticiones de respuesta, votos negativos, mensajes directos.

Las contraseñas estaban cifradas, pero Quora no detalla qué tipo de cifrado usaban

Como vemos, todo posible dato asociado a las cuentas se ha visto afectado por este fallo. El hecho de que las contraseñas estén cifradas es bueno, pero en la mayoría de estos casos los atacantes consiguen invertir el proceso de cifrado y obtener las contraseñas en texto plano una vez consiguen adivinar cual ha sido el proceso de cifrado; sobre todo si han usado alguno con menos de 10.000 iteraciones.

Si no han usado nada para añadirle “salt” a las contraseñas, podrán descifrarlas rápidamente. En el caso de que hayan usado funciones como bcrypt, será casi imposible que consigan convertirlas a texto plano. Quora no ha dicho nada más allá de que “las contraseñas están cifradas”.

Los investigadores no cierran ninguna posibilidad, y de momento no saben cómo el atacante ha conseguido tener acceso a sus sistemas. Los usuarios de la web ya están siendo contactados por parte de la compañía para decirles que cambien sus contraseñas. Por suerte, en la web no se almacenaba ninguna información personal más grave, como pueden ser datos bancarios, número de identidad o dirección física personal.

En el caso de que tuvieseis una cuenta en la web, os recomendamos que cambiéis la contraseña no sólo de Quora, sino de cualquier otra web donde estéis utilizando la misma. En cuanto los atacantes consigan descifrar las que han obtenido, empezarán a probarlas en todo tipo de servicios, como Instagram, Steam, Facebook, etc.

Fuente: Ars Technica | adslzone