Året går mot sitt slut, men spektakulära dataintrång med potentiellt förödande konsekvenser bara fortsätter. Quora är en amerikansk sajt där medlemmarna kan få svar på frågor inom en mängd olika ämnen. Hackare har lyckats tränga in i nätverket och stjäla känsliga personuppgifter om runt 100 miljoner användare.

Uppgifterna som stals kan vara mycket känsliga för användarna; där ingår namn, e-postadresser, postadresser, data importerade från andra tjänster och en flora av icke-publikt innehåll som direktmeddelanden, begäran om svar och nedröster, skriver Ars Technica.

I ett uttalande i går kväll säger ansvariga på Quora att de upptäckte intrången i fredags och att de anlitat säkerhetsanalytiker för att utreda händelsen, samt att de lämnat in en anmälan till rättsvårdande myndigheter.

"Det är vårt ansvar att se till att sådana här saker inte händer, och vi har misslyckats med att svara upp mot våra åtaganden. Vi inser att vi måste jobba mycket hårt för att se till att detta inte händer igen, för att återvinna förtroendet bland våra användare”, skriver Quoras vd Adam D’Angelo.

Bland Quoras omedelbara åtgärder har ingått att logga ut samtliga berörda användare och nollställa deras lösenord.

I sitt uttalande skriver Quora att de funnit grundorsaken till hacket och vidtagit åtgärder för att täppa till läckan, samtidigt som den interna utredningen fortsätter. En ljusglimt är att förövarna inte lyckades komma över anonyma frågor och svar. Quora lagar nämligen inte några identiteter när folk skriver anonymt. Detta måste sägas vara ett smart drag – ofta är de anonyma frågorna de mest känsliga.

Vad gäller lösenorden är det nu upp till kryperingsfunktionen att stå pall mot de attacker som förövarna med att sannolikhet kommer att testa; deras förtjänst för nedlagt arbete hänger förmodligen på det. Quora uppger inte vilken algoritm de använder, bara att lösenorden är ”krypterade”, vilket sannolikt betyder att de körs genom en envägs hashfunktion.

Om de använt en snabb algoritm med färre än 10 000 iterationer, som MD5, kommer hackarna att ha knäckt 80 procent av lösenorden på ett par dagar. Om Quora använder det erkänt stabila bcrypt sitter lösenorden säkert för lång tid framöver.

Hacket mot Quora kommer mindre än en vecka efter att det avslöjades att hotellkedjan Marriott bestulits på en halv miljard användarkonton. Det tål att upprepas: Använd svåra och unika lösenord för varje tjänst, helst tillsamman med en lösenordshanterare. Erbjuder tjänsten flerfaktorsautentisering, så använd även det.

Läs också:
Hejdå till lösenord på företaget – så funkar Windows Hello for Business
Ny attack mot vanliga routrar – redan 45 000 infekterade