誰かが質問回答ウェブサイトQuoraのシステムを覗き込み、1億人のユーザーのアカウント詳細を盗んだ。
同組織は今週月曜日に次のように発表した。「金曜日に、当社のシステムの一つに不正アクセスした第三者によって、一部のユーザーデータが侵害されたことが判明しました。」
同社は「事件を封じ込めるための措置を講じた」と述べた。
侵害されたデータには、アカウント情報、公開コンテンツとアクション(コメント、賛成票、アクションなど)、非公開アクション(回答リクエスト、反対票、ダイレクトメッセージ。後者は「ごく一部」のユーザーのみが使用)が含まれます。
関係するアカウントデータには、ユーザーID、メールアドレス、そして(El Regさん、今回ばかりは報告できてよかったです)完全に暗号化されたパスワードが含まれていました。Quoraの投稿によると、影響を受けたユーザー全員をログアウトさせ、パスワードのリセットを促すとのことです。
Magecartの悪党がサザビーズ・ホームのウェブサイトにカードスキミングコードを仕込む
続きを読む
それ以外の方には、次のアドバイスがあります。「パスワードは暗号化(ユーザーごとに異なるソルトでハッシュ化)されていますが、一般的に、複数のサービスで同じパスワードを再利用しないことがベストプラクティスです。複数のサービスで同じパスワードを再利用している場合は、パスワードを変更することをお勧めします。」
侵害されたデータには、ユーザーが自分のアカウントから許可を与えていた場合、「リンクされたネットワークからインポートされたデータ」も含まれていた。
投稿では、連携されたアカウントからどのような情報が提供されるかは明記されていませんが、プライバシーポリシーで説明されています。GoogleまたはFacebookを使用してログインした場合、またはQuoraアカウントをFacebook、Twitter、またはLinkedInに連携した場合、「当社は連携されたネットワークから、お客様に関する特定のプロフィール情報とアカウント情報を受け取ります」。
そのため、 The Registerは、Quora では実名を使いながら Twitter では実名を使わない人物の個人情報が、今回の漏洩によって特定されるリスクがあると考えているようです。
Quoraは「根本原因を特定し、問題に対処するための措置を講じた」としており、外部組織が支援しており、法執行機関に通報済みです。®
