Gegevens van 100 miljoen Quora-gebruikers mogelijk op straat
Vraag- en antwoordsite Quora is gecompromitteerd. Mogelijk zijn er gegevens van 100 miljoen Quora-gebruikers uitgelekt. Daarvoor waarschuwt Adam D'Angelo, CEO en mede-oprichter van Quora, op het eigen blog.
Afgelopen vrijdag werd ontdekt dat een derde partij ongeautoriseerde toegang tot een van de Quora systemen heeft verkregen. Hoe dit precies is gebeurd, wordt nog onderzocht. Er wordt rekening mee gehouden dat er namen, e-mailadressen, versleutelde wachtwoorden en data van gelinkte netwerken van mogelijk 100 miljoen gebruikers zijn uitgelekt. Ook niet-publieke vragen en directe berichten van en aan gebruikers zijn mogelijk in handen van de kwaadwillenden gekomen.
Quora zegt gebruikers van wie de data is uitgelekt, te zullen informeren. Zij zullen een nieuw wachtwoord moeten aanmaken. Ook geeft het platform aan zo transparant mogelijk te willen zijn over gecompromitteerde systemen, over het onderzoek dat is gestart naar de oorzaak van de hack en wat gebruikers zelf kunnen doen.
"Het is onze verantwoordelijkheid om ervoor te zorgen dat dergelijke incidenten niet plaatsvinden en daarin hebben we gefaald", schrijft D'Angelo. "Om het vertrouwen van gebruikers te behouden, moeten we heel hard werken om dit in de toekomst te voorkomen."
Trek voor de zekerheid de toegang in en doorloop het login traject opnieuw als het een beetje is gekalmeerd.
https://support.google.com/accounts/answer/3466521?hl=nl
(Af en toe opschonen is ook geen verkeerd idee.)
1.Tergend slechte websites moeten als straf gehackt worden?
2. Wat is er zo tergend slecht aan Quora? Verklaar je nader!
Zie overzicht hier: https://webhint.io/scanner/9347382a-fed0-43c7-b621-78d8e4d082d0#Security.
Er ging op de pagina wat mis met het labelen van vorm-elementen. Bij de beveiligingsaspecten zien we, dat lazyPrefetchJS komt na de html-tag, hetgeen verdacht is. Veiligheid opofferen om iets sneller in de browser te kunnen laden is een slechte overweging. Tree shaking had hier narigheid kunnen voorkomen, want met javascript payloads in het geding ben je in het andere geval wel het bokkie. En hier gaat het weer om het budget, dat je over hebt m.b.t. grootte en dan is het verkeerd om weer beveiliging als sluitstuk te zien. Maar helaas is dat altijd de CEO-overweging.
De problemen, bij de hosting met SSL: https://www.threatminer.org/ssls.php?q=fastly&t=14
luntrus
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Adviseur compliance
Ministerie van Buitenlandse Zaken
Er gebeurt ontzettend veel bij ons Cyber Security Center. We zijn over de hele wereld 24 uur per dag actief, nemen risico’s voor verbeteringen en zijn continu op zoek naar vernieuwing. Als adviseur compliance ga jij aan de slag in dit dynamische centrum. Zo bescherm je Nederland tegen privacydreigingen en cybercrimes.
Word cyberspecialist bij Defensie
Naast het land, de zee, de lucht en de ruimte is cyberspace het vijfde werkgebied waarin Defensie actief is. Zo kun je bijvoorbeeld aan de slag als big data engineer, app-specialist of data scientist binnen de Joint Sigint Cyber Unit (JSCU) van de Militaire Inlichtingen- en Veiligheidsdienst (MIVD).
Technical Security Trainer
Ben je net als de rest van ons team bovenmatig geïnteresseerd in security en vind je het leuk om je hacker mindset en security-skills over te dragen? Dan ben je bij ons aan het juiste adres!
Are you ready for a challenge?