Frågesidan Quora drabbas av intrång – 100 miljoner användarkonton på vift

Frågesidan Quora drabbas av intrång – 100 miljoner användarkonton på vift

Den populära frågesidan Quora har drabbats av ett intrång. Upp till 100 miljoner kontouppgifter kan ha läckt ut, vilket gör läckan till en av de största genom tiderna.

Läs hela artikeln här

Sen har vi Marriott med sina 500 Miljoner användaruppgifter som jag hörde idag från Level1

All info om hotellgästernas info namn adress etc plus krypterade betalningsinfo... grejen är att dekryperingsnycklarna kan också ha blivit stulna för kreditkorten.

https://techcrunch.com/2018/11/30/starwood-hotels-says-500-mi...

Video level1

Blir ju allt vanligare med sånt.

EDIT: Kan bli ett fall för GDPR och 4% bötesbelopp.

Senast redigerat 2018-12-04 17:43

Har inte fått mail om det men fick ett meddelande när jag gick in på appen. Så fett trögt. Måste nu försöka komma ihåg om jag använt det gamla lösenordet till andra tjänster.

Skrivet av kolomakatita:

Har inte fått mail om det men fick ett meddelande när jag gick in på appen. Så fett trögt. Måste nu försöka komma ihåg om jag använt det gamla lösenordet till andra tjänster.

Lika bra att gå igenom alla konton och lösenord, skaffa en lösenordshanterare och börja uppdatera infon med nya unika 12-24 teckenlösenord på varje tjänst

Stängde av mitt konto på Quora, riktigt uselt av dem.

Skrivet av Mr_Lazy:

Lika bra att gå igenom alla konton och lösenord, skaffa en lösenordshanterare och börja uppdatera infon med nya unika 12-24 teckenlösenord på varje tjänst

Riktigt bra idé.

Skrivet av HappyPie:

Sen har vi Marriott med sina 500 Miljoner användaruppgifter som jag hörde idag från Level1

All info om hotellgästernas info namn adress etc plus krypterade betalningsinfo... grejen är att dekryperingsnycklarna kan också ha blivit stulna för kreditkorten.

https://techcrunch.com/2018/11/30/starwood-hotels-says-500-mi...

Blir ju allt vanligare med sånt.

Viktigt att poängtera är att även pass-nummer läkte. Gör ID kapning löjligt enkelt.

Skrivet av Mocka:

Riktigt bra idé.

LastPass har en funktion där det går igenom alla passord automatisk och varnar för dubbletter eller kända/svaga passord. Det kan också byta ut passorden automatiskt.

//LD

Skrivet av HappyPie:

Sen har vi Marriott med sina 500 Miljoner användaruppgifter som jag hörde idag från Level1

All info om hotellgästernas info namn adress etc plus krypterade betalningsinfo... grejen är att dekryperingsnycklarna kan också ha blivit stulna för kreditkorten.

https://techcrunch.com/2018/11/30/starwood-hotels-says-500-mi...

Blir ju allt vanligare med sånt.

EDIT: Kan bli ett fall för GDPR och 4% bötesbelopp.

Är redan några dagar sedan nyheten kom ut. Det hände väl typ förra året bara att de inte upptäckt det förrän nu. Vilket gör det till ett äkta skräckfall. Hackning är dåligt men att inte skydda våra uppgifter i första hand är fan värre. Speciellt med aånna mängder

Skickades från m.sweclockers.com

Skrivet av aholman:

Är redan några dagar sedan nyheten kom ut. Det hände väl typ förra året bara att de inte upptäckt det förrän nu. Vilket gör det till ett äkta skräckfall. Hackning är dåligt men att inte skydda våra uppgifter i första hand är fan värre. Speciellt med aånna mängder

Skickades från m.sweclockers.com

Hackaren hade tillgång sedan 2014 i detta fall, och detta är en nyupptäckt händelse som jag har förstått.
Det du tänker på som hände för ett halv år sedan var Assalås som finns i flertalet hotell för gästrummen som hade en bakdörr? (pun intended). Ett rf-id system som var osäkert så att vem som helst kunde gå in i vilken gästrum som helt.

Har hackarna ägt servrarna sedan 2014 så kan det vara väldigt svårupptäckt då det gäller för administratörerna att leta i varenda skrymsle i alla filer och script och se och förstå alla avvikelser där som har med OS och systemet att göra - det är leta nå nål i höstack bokstavligt talat.

Hur många går igenom rad för rad samtliga bash-scripter och förstår vad de faktiskt gör och letar efter tänkbara bakdörrar i tex. en Ubuntu-installation - den som gör det räcker upp en hand!

Med andra ord det är inte lätt alls och man skall nog vara i 'skrået' och vet hur hackerkulturen och de olika grupperingarna tänker för att ens ha en chans att hitta något om någon av dessa fått en fot in i servern... - mao. en före detta skicklig hacker kanske har en chans...

Att det avslöja nyligen är för att någon faktiskt brydde sig om att denne såg en aktivitet som inte borde vara just då, är närmast tur för administrationen och uppenbar slarv/misstag av hackarna som var inne i servrarna just då, skall man äga servrar så får man se till att det inte syns att man är där...

Kan inte minnas att jag nånsin reggat mig på Quora.com men blir ändå spammad då och då med massa skräpfrågor.

Gick in på sidan och såg att jag var "connected" genom mitt google-konto. Borde man vara nojig eller gäller det bara folk som skapat konto och angett lösenord direkt genom Quoras hemsida?

Har många gånger läst frågor och svar där men alltid tyckt det varit bisarrt att behöva regga sig för att läsa vidare genom länkar till andra frågor. Att man behöver regga sig för att skriva accepterar jag, men fasen inte för att läsa! Så jag reggade mig inte, och skulle aldrig göra.

Vad fan, loggade in där förra veckan med mitt Google-konto.. Betyder detta att hela mitt Google-konto äventyras just nu?

Skrivet av M1NT:

Vad fan, loggade in där förra veckan med mitt Google-konto.. Betyder detta att hela mitt Google-konto äventyras just nu?

Hej. Nejdå. Ifall du enbart har loggat in på Quora via Google eller Facebook behöver du inte ens byta några lösenord. Quora får aldrig ditt lösenord till Google eller Facebook när du loggar in med nämnda inloggningstjänster. Quora upprättar enbart en koppling till ditt Facebook- eller Google-konto för att autentisera dig (de ber Google eller Facebook att gå i god för att du är användaren som du utger dig för att vara). Du kan se alla kopplingar som är gjorda till ditt Facebook- och Google-konto från respektive kontos säkerhetsinställningar.

säkert md5, men iaf salt på den lol

Skrivet av nikka:

Quora upprättar enbart en koppling till ditt Facebook- eller Google-konto för att autentisera dig (de ber Google eller Facebook att gå i god för att du är användaren som du utger dig för att vara).

fast hur fungerar sådana websidor? bara en API som google/facebook har full kontroll över? brukar aldrig använda dessa logins just pga säkerhetsnoja.

edit: finns ju också en risk med "fejk-logins" som ser ut att vara riktiga FB/google

Är ju en stor grej det här men det verkar som att de faktiskt haft vettiga säkerhetsrutiner till skillnad från så många andra sidor. Speciellt det där med anonyma frågor och användarunika salt, även om det är MD5 så är det iallafall lite bättre än utan.

Skrivet av grönsaksröra:

säkert md5, men iaf salt på den lol

fast hur fungerar sådana websidor? bara en API som google/facebook har full kontroll över? brukar aldrig använda dessa logins just pga säkerhetsnoja.

edit: finns ju också en risk med "fejk-logins" som ser ut att vara riktiga FB/google

Hehe. Jag hoppas sannerligen inte det är MD5.

Google och Facebook använder en kombination av lösningarna Open-ID och Oauth. Jag går igenom detta närmare i Bli säker-bokens tionde kapitel (jag lägger ut det för gratis nedladdning på https://nikka.systems/03vd6z ). Där belyser jag också nackdelarna som gör att jag, personligen, undviker inloggningstjänster som dessa.

En aspekt som jag däremot inte lyfter upp i boken är vad som händer när användare lämnar t.ex. Facebook. Inlåsningseffekten som Open-ID och Oauth skapar gör det svårt att lämna inloggningstjänster som väl har börjat användas.

Ifall du vill se mer hur själva API-kopplingen går till från utvecklarens perspektiv kan jag rekommendera Theme My Logins bildguide som visar processen steg för steg. Se https://docs.thememylogin.com/category/112-social.

Skrivet av Osten87:

Viktigt att poängtera är att även pass-nummer läkte. Gör ID kapning löjligt enkelt.

Oj, det var riktigt illa. Men varför ligger den infon där?

Japp, det är sånt här som får en att tänka till en extra gång när man reggar nytt konto hos någon tjänst.
-Hur väl vet du egentligen att de har en bra säkerhet kring uppgifterna de lagrar om dig?
När skadan väl är ett faktum kanske det blir svårt att reversera.
Just nu liknar det mer ett High Chaparral av info på villovägar, inte minst starkt jobbar av våra egna nationella myndigheter.

Är ju måttligt imponerad över utvecklingen på mediamarknaden, alla tjänster skall vara exklusiva med egna konton, kopplingar och databaser. Vem vet hur många gånger du måste uppge personlig information om du skall får tillgång till de filmer/serier du vill ta del av?

För att påtala tillfällen när man kan tänkas ge ifrån sig kontokortsinformation frivilligt så är det väl främst när man går i köpe-tankar eller i underhållningssyfte.

Jag har själv valt att enbart handla hos några få online-butiker i avseendet att minska spridningen.
Men vem vet hur mycket av den informationen de säljer vidare till andra kedjor och bolag? Personuppgifter och positionsdata är ju hårdvaluta på vissa delar av nätet.
Vad har jag och andra kunder för garantier och vad finns det för straffskalor om de inte följer vad de lovar?

Många frågor.

Ok dom har fått mina inlogg uppgifter, vad ska dom göra med det? Läsa min mail med 10k skräp post?

Skickades från m.sweclockers.com

Skrivet av Osten87:

Viktigt att poängtera är att även pass-nummer läkte. Gör ID kapning löjligt enkelt.

Tar med det här inlägget som referens för svaret nedan ;).

Skrivet av Mr_Torped:

Ok dom har fått mina inlogg uppgifter, vad ska dom göra med det? Läsa min mail med 10k skräp post?

Skickades från m.sweclockers.com

De verkar ha fått tag i passnummer exempelvis. IDkapning är inge vidare kul generellt.

Hoppas inte de kommit åt din mail! Det innebär att de kan ta kontroll över alla konton som är kopplade till den mailen. Går ju att beställa nytt lösenord från alla tjänster som verifieras via mailkontot.
Nu används det vanligtvis inte såhär, men i teorin kan det bli en jobbig dag om de kommer åt exempelvis tradera och de hjälper dig att lägga 4000 vinnande bud. Kommer bli en del irriterad korrespondens som följd hehe.
Har du steam på samma mail så kan det vara surt om någon tar över ditt steamkonto, fuskar i nå spel och får kontot låst.
Finns väl en uppsjö andra teoretiska följdproblem man kan få av det där med kontokapning.

Men ja, vanligen används väl användarnas inloggningsuppgifter främst som bas för att knäcka andra lösenordsdatabaser vilket man själv kan åka dit på om man återanvänt lösenord.

Skrivet av Söderbäck:

Tar med det här inlägget som referens för svaret nedan ;).

De verkar ha fått tag i passnummer exempelvis. IDkapning är inge vidare kul generellt.

Hoppas inte de kommit åt din mail! Det innebär att de kan ta kontroll över alla konton som är kopplade till den mailen. Går ju att beställa nytt lösenord från alla tjänster som verifieras via mailkontot.
Nu används det vanligtvis inte såhär, men i teorin kan det bli en jobbig dag om de kommer åt exempelvis tradera och de hjälper dig att lägga 4000 vinnande bud. Kommer bli en del irriterad korrespondens som följd hehe.
Har du steam på samma mail så kan det vara surt om någon tar över ditt steamkonto, fuskar i nå spel och får kontot låst.
Finns väl en uppsjö andra teoretiska följdproblem man kan få av det där med kontokapning.

Men ja, vanligen används väl användarnas inloggningsuppgifter främst som bas för att knäcka andra lösenordsdatabaser vilket man själv kan åka dit på om man återanvänt lösenord.

Om uppgifterna hamnar hos Kalle 16 år förstår jag att dom här exemplen är troliga. Men hat svårt att tro att någon 16 åring i sverige besitter kunskapen om att utföra en sånt här intrång.
Tror mer dom är ute efter någon ekonomisk vinning precis som vilken tjuv som helst och inget practical joke scenario.

Det som jag känner är worst case är när jag blir ekonomiskt drabbad t.ex id kapning och dom lyckas på något sätt få mig bli skyldig pengar som min hem försäkring täcker eller dom kommer åt mina kort uppgifter som både är spärrat för internet köp och försäkrade mot bedrägerier.

Måste dessutom bli en utvald på en av 100 miljoner blir jag det ska jag genast köpa en triss

Skickades från m.sweclockers.com

Skrivet av Mr_Torped:

Om uppgifterna hamnar hos Kalle 16 år förstår jag att dom här exemplen är troliga. Men hat svårt att tro att någon 16 åring i sverige besitter kunskapen om att utföra en sånt här intrång.
Tror mer dom är ute efter någon ekonomisk vinning precis som vilken tjuv som helst och inget practical joke scenario.

Det som jag känner är worst case är när jag blir ekonomiskt drabbad t.ex id kapning och dom lyckas på något sätt få mig bli skyldig pengar som min hem försäkring täcker eller dom kommer åt mina kort uppgifter som både är spärrat för internet köp och försäkrade mot bedrägerier.

Måste dessutom bli en utvald på en av 100 miljoner blir jag det ska jag genast köpa en triss

Skickades från m.sweclockers.com

I grunden har du en bra poäng. Även om ens konto blir hackat så lär väl de flesta inte märka av det.
Jag nämnde att det var osannolikt i förra inlägget också, men tänkte att eftersom att du nu ställde frågan så kan man ju lyfta fram vad som kan hända ;).

Sedan är det väl visserligen ganska många unga som sitter och trixar vid datorn även i dagsläget.
Tänkvärt är att dessa hackade kontolistorna inte sällan hittar ut till en större publik som gärna vill testa sina vingar så vem som försöker sig på att använda ens konton... ja det kan vara nästan vem som helst egentligen och behöver inte alls vara samma personer som gjort intrånget.

But all in all. De flesta har säkert fått något konto läckt genom åren. Jag skulle gissa på att det är bra många färre som faktiskt märkt av något precis som du säger.

Vad menar ni med "passnummer"? Inte nummer för fysiska pass, såna man har när man reser, va? För vem skulle lägga in sånt på en sida för frågor???

Skrivet av cyklonen:

Vad menar ni med "passnummer"? Inte nummer för fysiska pass, såna man har när man reser, va? För vem skulle lägga in sånt på en sida för frågor???

Inte för Quora.

Men någon kommentar nämnde en anna läcka föra Mariott hotell. Där gällde det passnummer för fysiska pass. Det blir lite rörigt i tråden när folk kommenterar både Quora- och Mariottläckan

Skrivet av milky81:

Inte för Quora.

Men någon kommentar nämnde en anna läcka föra Mariott hotell. Där gällde det passnummer för fysiska pass. Det blir lite rörigt i tråden när folk kommenterar både Quora- och Mariottläckan

Haha, ja, det verkar rimligt!

99,9% av användarna är väl indier