La mauvaise nouvelle a été communiquée par des emails envoyés aux utilisateurs concernés, à savoir la moitié de ses 200 millions de comptes, ainsi que lors d’une annonce publique faite lundi sur son site web.
L’entreprise a découvert la faille le 30 novembre et a conclu que “les données avaient été compromises par un tiers qui avait obtenu un accès non autorisé à nos systèmes”, a écrit Adam D’Angelo, CEO de Quora.
Les données consultées comprenaient des données personnelles telles que le nom, l’adresse électronique et les mots de passe chiffrés (hachés), ainsi que toutes les données importées à partir de réseaux associés et tel qu’autorisé par les titulaires de compte.
Les données compromises concernaient également la catégorie “contenu et actions non publics, par exemple des demandes de réponses, avis négatifs, messages directs”, mais l’entreprise estime que seul un faible pourcentage d’utilisateurs dispose de telles données sur leurs comptes.
En outre, les pirates ont mis la main sur des questions, des réponses et des avis positifs postés par les utilisateurs, même si ceux-ci auraient également été accessibles publiquement sur le site lui-même.
Quiconque aurait publié anonymement sur le site en cours des dernières années n’est pas affecté dans la mesure où, selon Quora, l’entreprise n’a pas enregistré les données de ces utilisateurs.
Quoi faire ?
Si vous faites partie des 100 millions concernés, l’entreprise vous déconnectera de votre compte et vous demandera de réinitialiser le mot de passe lors de votre prochaine tentative de connexion.
Même si vous êtes un utilisateur de Quora qui n’a pas, à priori, besoin de changer son mot de passe, c’est toujours une bonne idée de le faire quand même, et ce même si vous faites partie de ces très nombreuses personnes qui auraient oublié qu’elles se sont inscrites sur ce site il y a bien longtemps !
Que va mettre en œuvre Quora pour empêcher qu’une telle situation ne se reproduise à l’avenir ?
Nous pensons avoir identifié la cause racine et nous avons pris des mesures pour traiter le problème, même si nos investigations sont encore en cours et que nous continuerons à améliorer, sans cesse, la sécurité de notre site.
Les mots de passe sont importants
Comme pour toute violation de données, l’angoisse persistante réside dans le fait de savoir ce que les pirates pourraient bien faire avec les données volées la semaine dernière.
L’inquiétude n’est pas simplement liée aux comptes Quora compromis, mais au fait que certains des mots de passe utilisés pour les sécuriser ont peut-être été réutilisés sur d’autres sites web. Cela dépend en grande partie de la période exacte durant laquelle les pirates ont accédé aux données avant leur découverte.
Quora dit que les mots de passe ont été “chiffrés”. Nous espérons que les données sont bien passées par une fonction de hachage de mot de passe à proprement parlé et que l’entreprise n’utilise pas juste ce mot pour que les utilisateurs l’assimilent au mot “sécurisé”.
Quora n’a pas spécifié la fonction de hachage qu’elle avait utilisée, ni la combinaison salage/itération qu’elle a utilisée. Ces détails pourraient faire toute la différence !
Si l’entreprise a utilisé des hachages MD5 ou SHA-1 obsolètes pour protéger les mots de passe, ce n’est pas une bonne nouvelle. Si elle a utilisé un outil comme bcrypt ou scrypt avec un stretching approprié, c’est déjà plus rassurant, car cela signifierait que déchiffrer les mots de passe des utilisateurs serait beaucoup plus lent et plus coûteux.
Pour illustrer la différence que cela représente, jetez un coup d’œil à ce qui s’est passé lorsque des chercheurs ont tenté de déchiffrer les mots de passe volés lors de la violation de données d’Ashley Madison.
L’annonce de la violation de données de Quora en fait la troisième grande marque ciblée par des pirates en une semaine, après Marriott (dont 500 millions de comptes ont été affectés) et Dell (dont la taille n’est pas encore connue).
Billet inspiré de Quora.com admits data breach affecting 100 million accounts, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.