Bėda viena nevaikšto. Nepraėjo nė savaitės po žinios apie milžiniškos „Marriott“ viešbučių tinklo klientų duomenų bazės nutekėjimą su 500 mln. įrašą, o dabar jau skelbiama apie dar 100 mln. vartotojų jautrios informacijos nutekėjimą iš svetainės quora.com, kurioje žmonės uždavinėja įvairius klausimus ir į juos atsakinėja.
Bėda viena nevaikšto. Nepraėjo nė savaitės po žinios apie milžiniškos „Marriott“ viešbučių tinklo klientų duomenų bazės nutekėjimą su 500 mln. įrašą, o dabar jau skelbiama apie dar 100 mln. vartotojų jautrios informacijos nutekėjimą iš svetainės quora.com, kurioje žmonės uždavinėja įvairius klausimus ir į juos atsakinėja, rašo „Ars Technica“.
Pavogtos informacijos šūsnyje – ir kriptografiškai užšifruoti slaptažodžiai, ir pilni vardai, ir elektroninio pašto adresai, ir duomenys, importuoti iš susijusių tinklų, ir daugybė kito neviešo turinio bei informacijos apie veiksmus, pavyzdžiui, tiesioginio susirašinėjimo žinutės, prašymai pateikti atsakymą balsavimo informacija. Nutekėjo ir vartotojų užduoti klausimai, ir jų pateikti atsakymai, ir komentarai.
Vėlyvą pirmadienio vakarą „Quora“ atstovai informavo, kad apie kibernetinį incidentą jiems tapo žinoma penktadienį. Per tą laiką spėti pasamdyti skaitmeninės kriminalistikos ekspertai ir kibernetinio saugumo įmonė, kuriems pateikta užduotis atlikti pilną incidento tyrimą, taip pat apie incidentą informuoti atitinkami teisėsaugos pareigūnai.
„Mums tenka atsakomybė užtikrinti, kad tokie dalykai nenutiktų, tačiau mes šios atsakomybės nepateisinome. Suprantame, kad siekiant išlaikyti vartotojų pasitikėjimą turėsime labai sunkiai dirbti ir užtikrinti, kad tai nebepasikartotų“, – sakė „Quora“ generalinis direktorius Adamas D'Angelo.
Visi vartotojai, kurių duomenys nutekėjo, buvo automatiškai atjungti nuo svetainės, o jeigu prie svetainės jungiamasi naudojant slaptažodį, šie slaptažodžiai buvo pakeisti. Taip pat asmenims, naudojantiems tą pačią vartotojo vardo ir slaptažodžio kombinaciją jungiantis prie kitų paslaugų, primygtinai rekomenduojama pasikeisti savo slaptažodžius. „Quora“ jau pradėjo siuntinėti įspėjamuosius elektroninius laiškus visiems nukentėjusiems vartotojams.
„Manome, kad identifikavome problemos priežastį ir ėmėmės žingsnių jai šalinti, nors mūsų vidinis tyrimas ir toliau tęsiasi, be to, toliau vykdysime kibernetinio saugumo tobulinimą. Tęsime ir vidinį darbą, ir bendravimą su išoriniais ekspertais, kad tiksliai suvoktume, kas nutiko ir imsimės visų reikalingų žingsnių“, – tvirtinama pirmadienį išplatiname svetainės oficialiame pareiškime.
Teigiama, kad programišiai negalėjo pavogti anonimiškai užduotų klausimų bei pateiktų atsakymų, nes „Quora“ tokiu principu pateiktų klausimų tiesiog nesieja su identifikuojančia informacija. Toks sprendimas – nesieti anoniminių klausimų ir atsakymų su identifikuojančia informacija – buvo priimtas kaip tik dėl to, kad nebūtų galimybės nustatyti asmenis, kurie galėjo aptarinėti itin jautrius klausimus. Tačiau asmenims, kurie tikėjosi anonimiškumo prisijungiant pagal pseudoniminį vartotojo vardą ar susirašinėdami asmeninėmis žinutėmis, pasisekė mažiau.
Pavogtų slaptažodžių bėda
Viena iš rimčiausių bėdų šio duomenų nutekėjimo atveju yra susijusi su slaptažodžiais: „Quora“ nedetalizavo, kokiu būdu buvo užšifruoti pavogti slaptažodžiai, tačiau paprastas pasakymas, kad slaptažodžiai buvo „šifruoti“, veikiausiai reiškia, kad buvo panaudotas koks nors maišos (angl. hash) mechanizmas.
Šiuo atveju itin svarbu, koks konkrečiai buvo šis mechanizmas. Jeigu siekiant spartesnio veikimo ir mažesnio sistemų apkrovimo buvo naudojamas maišos algoritmas, šifravimą atliekantis per mažiau nei 10 000 iteracijų arba toks „greitas“ algoritmas, kaip MD5, tuomet duomenų bazę pavogę programišiai, pasinaudodami lengvai prieinamais iššifravimo įrankiais, iki 80 proc. visų slaptažodžių galės išgliaudyti vos per kelias dienas.
Kai kurie kiti maišos algoritmai yra atsparesni iššifravimo bandymams. Dėl šio įsilaužimo, kurį galima segti į ilgą virtinę kitų įsilaužimų, kuriuose nukentėjusiais galima vadinti milijonus, dešimtis ar net šimtus milijonų vartotojų, skaitytojams dar kartą rekomenduojama kiekvienai interneto paslaugai naudoti skirtingą, ilgą slaptažodį arba, idealiu atveju, naudoti slaptažodžių valdymo įrankį. Visais atvejais, kai siūloma galimybė autentifikavimą vykdyti keliais žingsniais, tokia galimybe reikėtų ir naudotis.
