Anfang Dezember 2018 berichtete CEO Adam D’Angelo, dass es zu einer Datensicherheitsverletzung in einer Datenbank gekommen sei. Bisher noch unbekannte Dritte hätten sich unerlaubten Zugriff zu einem der Quora-Systeme verschafft. Davon betroffen sind nun die persönlichen Daten von etwa 100 Mio. Quora-Nutzern.
Am Freitag den 30. November hieß es von Unternehmensseite, sei der Vorfall entdeckt worden. Bisher wisse man noch nichts Konkretes. Man sei noch dabei die Umstände zu untersuchen. Alle betroffenen Nutzerkonten konnten jedoch identifiziert werden. Diese Nutzer wurden automatisch ausgeloggt und die Passwörter zurückgesetzt. Zu den Daten, die hierbei kompromittiert wurden, zählen Kontoinformationen, öffentliche Inhalte und Aktionen (z. B. Kommentare, Upvotes und sonstige Aktionen) sowie nicht öffentliche Aktionen (Anfragen, Downvotes und Direktnachrichten, wobei Letztere nur von einem „kleinen Prozentsatz“ der Benutzer verwendet werden).
Quora, eine Frage und Antwort Internetplattform, ist hierzulande kaum bekannt. Das liegt vielleicht daran, dass Quora seine deutschsprachige Ausführung erst seit Juli 2017 betreibt. Die Anwenderzahlen in den USA sind jedoch weitaus populärer. Dort ist Quora seit seiner Liveschaltung Ende 2009 sehr beliebt. Die Anwenderanzahl liegt bei etwa 300 Mio. Nutzer können auf Quora öffentlich oder anonymisiert Fragen stellen und Antworten finden. Auf der Unternehmenswebseite heißt es hierzu:
„Bei Quora kann man Fragen stellen, die einen schon immer interessiert haben und Antworten bekommen, die glaub- und vertrauenswürdig sowie von hoher Qualität sind. Bei Quora kann man aufschlussreiche Erkenntnisse gewinnen, die nirgendwo sonst nachzulesen sind — durch Menschen vermittelt, die man sonst so gut wie nie erreichen oder treffen würde.“
Zu den betroffenen kompromittierten Kontodaten gehören die kompletten Benutzeridentitäten, E-Mail-Adressen und die für eine Einmal-Berichterstattung verwendeten vollständig verschlüsselten Kennwörter. Doch das ist noch nicht alles. Zu dem Datenschutzverstoß zählen auch „Daten, die aus verknüpften Netzwerken importiert wurden“. Damit ist gemeint, wenn sich Benutzer über ein Twitter oder Facebook oder LinkedIn-Konto bei Quora anmelden. Die Hacker konnten nicht auf anonym geschriebene Fragen und Antworten zugreifen, da Quora keine Identitäten von Personen speichert, die Inhalte anonym veröffentlichen.
Quora hat nichts Näheres über das Format der gestohlenen Kennwortdaten bekannt gegeben. Erwähnt wurde nur, sie seien verschlüsselt gewesen unter Verwendung eines individuellen kryptografisches Salts. Dies bedeutet, die Passwörter wurden mit einer eindeutigen Zeichenfolge aus Text versehen und anschließend durch eine Einweg-Hash-Funktion geleitet. Eine spezifische Hash-Funktion ist sehr wichtig. Denn, wenn weniger als 10.000 Iterationen eines schnellen Algorithmus wie MD5 verwendet werden, können Hacker mittels Standardhardware und öffentlich verfügbare Wortlisten bis zu 80 % solcher Kennwort-Hashes in ein paar Tagen knacken. Dagegen sind Funktionen wie bcrypt in der Lage zu verhindern, dass ein großer Prozentsatz von Hashes in lesbaren Klartext umgewandelt wird. Quora bestätigte allerdings in einer späteren Mitteilung, dass sie tatsächlich bcrypt eingesetzt hatte.
Einen potenziellen Identitätsdiebstahl schließt Quora übrigens aus, da ihre Website keine sensiblen Informationen wie Kreditkarten- oder Sozialversicherungsnummern abfragt. Nichtsdestotrotz ist der Fall ernst. Solche Sicherheitspannen zeigen, wie wichtig es ist, ein langes und komplexes Kennwort zu verwenden, das für jede Seite eindeutig unterschiedlich ist. Idealerweise sollte ein Kennwortmanager genutzt werden. Und, wenn eine Multi-Faktor-Authentifizierung angeboten wird, sollten Nutzer dies unbedingt nutzen. In einem Kommentar zu dieser Sicherheitsverletzung sagte SANS IT-Sicherheitsexperte William Hugh Murray:
„Es bleibt abzuwarten, welchen Anteil Quora selbst an dem Vorfall hatte. Bei der Offenlegung hat das Unternehmen aber alles richtig gemacht, sowohl in zeitlicher als auch in transparenter Weise.“
Artikel von theregister.co.uk, 04.12.2018: Security Yet another mega-leak: 100 million Quora accounts compromised by system invaders
Artikel von nytimes.com, 04.12.2018: Quora, the Q. and A. Site, Says Data Breach Affected 100 Million Users
Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0