Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

100 millones de detalles de usuarios de Quora.com expuestos

El sitio de preguntas y respuestas es la última organización en admitir una brecha de los datos personales de los usuarios, y los comentaristas de la industria consideran que el robo de credenciales es la causa principal de dichas violaciones.

Pocos días después de que Marriott International reveló que 500 millones de datos de sus clientes de Starwood fueron...

expuestos, el sitio de preguntas y respuestas Quora.com admitió una violación masiva de datos, pero dijo que no todos los usuarios están afectados.

La compañía alertó a los usuarios afectados por correo electrónico de que sus datos de usuario se vieron comprometidos "debido a un acceso no autorizado a nuestros sistemas por parte de un tercero malicioso" e invalidaron sus contraseñas para forzar un restablecimiento, lo que generó especulaciones de que las credenciales robadas se usaron para obtener acceso a los sistemas de Quora.com.

La brecha, que afecta a "aproximadamente 100 millones de usuarios", incluye nombres, direcciones de correo electrónico, contraseñas cifradas, datos importados de redes vinculadas cuando los usuarios lo autorizan, solicitudes de respuesta, votaciones y mensajes directos.

Hemos contratado a expertos forenses y de seguridad digitales líderes y hemos iniciado una investigación, que está en curso", dijo la compañía a los usuarios.

Quora.com también dijo que había notificado a los funcionarios encargados de hacer cumplir la ley y había tomado medidas para "garantizar que la situación está contenida" y para prevenir violaciones similares en el futuro.

Proteger la información de nuestros usuarios y fomentar un entorno basado en la confianza sigue siendo nuestra principal prioridad", dijo la compañía.

Quora.com hizo pública la violación el 3 de diciembre, pero dijo que había lanzado un "esfuerzo exhaustivo de investigación y remediación" tan pronto como se descubrió la brecha el 30 de noviembre.

Dijo que es muy poco probable que la violación resulte en un robo de identidad porque la empresa no recopila información como tarjetas de crédito o números de seguro social.

La firma también ha ofrecido enviar a los usuarios un archivo de su contenido y datos personales dentro de las 72 horas de haber recibido una solicitud para hacerlo.

El presidente ejecutivo de Quora.com, Adam D’Angelo, abordó el tema de la confianza en una publicación del blog sobre el incumplimiento.

"Es nuestra responsabilidad asegurarnos de que cosas como esta no sucedan, y no logramos cumplir con esa responsabilidad", dijo. “Reconocemos que, para mantener la confianza del usuario, debemos trabajar muy duro para asegurarnos de que esto no vuelva a suceder”.

"Hay pocas esperanzas de compartir y aumentar el conocimiento del mundo si quienes lo hacen no pueden sentirse seguros y no pueden confiar en que su información seguirá siendo privada. Seguimos trabajando arduamente para remediar la situación, y esperamos con el tiempo demostrar que somos dignos de su confianza".

D’Angelo dijo que la compañía será "lo más transparente posible" sin comprometer sus sistemas de seguridad ni los pasos que está tomando.

Dijo que Quora.com todavía está investigando las causas precisas de la brecha, pero los investigadores creen que han "identificado la causa raíz" y han tomado medidas para abordar el problema.

"Continuaremos trabajando tanto internamente como con nuestros expertos externos para obtener una comprensión completa de lo que sucedió y tomar las medidas necesarias".

Aunque la compañía dijo que las contraseñas estaban "cifradas", no está claro qué forma de cifrado se usó, y el hecho de que los usuarios afectados se vean obligados a volver a enviar las contraseñas indica que el método de cifrado utilizado no fue el más sólido disponible.

La violación subraya la importancia de que los proveedores de servicios utilicen los métodos de cifrado más sólidos disponibles y la importancia de que los usuarios establezcan contraseñas únicas para cada una de sus cuentas y utilicen la autenticación multifactor siempre que esté disponible.

Stephen Cox, vicepresidente y arquitecto jefe de seguridad de SecureAuth, dijo que hay pruebas crecientes de que credenciales robadas están involucradas en la gran mayoría de las violaciones.

"Es necesario poner más énfasis en las técnicas avanzadas de autenticación para mejorar la postura de seguridad de las organizaciones en este panorama de amenazas", dijo. “Demasiadas organizaciones confían en enfoques que simplemente han demostrado ser ineficaces contra los atacantes modernos, y deben tener cuidado de no desarrollar una falsa sensación de seguridad, incluso cuando han adoptado técnicas básicas como la autenticación de dos factores”.

"Estos tipos de brechas continuarán proliferando a menos que las organizaciones aumenten su juego para sus empleados y sus clientes, implementando la autenticación multifactorial y adaptativa para inutilizar las credenciales robadas por un atacante".

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close