另一项流行的服务Quora开始让人感觉像是一个每周的传统,这一次它已经表明它是一个安全漏洞的受害者,这个漏洞可能已经影响到它的用户。像往常一样,你的一些个人信息(或登录凭据)可能掌握在那些不应该拥有这些信息的人手中,你需要采取措施来保护你的帐户和/或在线生活。
如果你曾经在Quora上做过账户,以下是你需要知道的:
Quora发送了一封电子邮件并发布了一个博客,以提供有关最近影响其服务的安全漏洞的更多信息。首先,Quora想让你知道非常抱歉(这并不能减少处理这个过程的烦人,但从强烈的道歉开始总是好的。)
第二,这个漏洞影响了大约1亿Quora用户。根据过去几个月的一些数据,这大约是其每月活跃用户数的三分之一。第三,Quora正在积极调查周五刚刚发现的漏洞,以下是迄今为止的发现:
“对于大约1亿Quora用户,以下信息可能已被泄露:
Quora试图淡化该漏洞的密码部分,后来评论说,“虽然密码是加密的(用不同用户的盐散列),但通常最好的做法是不要在多个服务中重复使用同一个密码,我们建议人们在这样做的情况下更改密码。”
不过,你应该更关心一点。Quora没有详细说明它用什么样的散列函数来加密这些密码,Ars Technica的Dan Goodin指出这是一个非常关键的遗漏。如果Quora采用了一种更简单的方法,那么这些密码就不会像他描述的那样受到保护:
“具体的哈希函数非常重要。如果是使用不含加密盐的MD5等快速算法的迭代次数少于10000次,那么使用现成硬件和公开的单词列表的黑客可以在一两天内破解多达80%的密码哈希。相比之下,像bcrypt这样的函数可以阻止很大比例的哈希转换成纯文本。”
至少你可以从这个漏洞中找到安慰,因为它并没有影响到你在Quora上发布的任何匿名问题或答案。网站似乎没有以任何方式将这些与您的帐户相关联。
Quora正在给那些可能受到这次破坏影响的人发邮件。但是,即使你没有收到电子邮件,像这样的情况是一个伟大的时间来审查你的在线安全设置。例如:
你是否在Quora上为其他网站和服务使用了相同的密码?
别这样。我知道,我知道;我也做过。但是考虑到使用密码管理工具为您使用的每个站点和服务创建长、复杂而且最重要的是唯一的密码是多么容易,您没有理由在多个站点上使用相同的密码。尽管认真对待密码创建并不能阻止这些漏洞的发生,但它会大大减轻它们的影响。
您使用两因素身份验证还是两步身份验证?
当有人试图以你的身份登录时,一个好的站点或服务会警告你它检测到一个新的登录名,如果它不是你的话,你可能想做些什么。一个更好的站点或服务会向您提供第二种形式的验证—文本代码、身份验证提示、从软件或硬件令牌读取的数字,等等,您还必须输入密码才能访问。如果您还没有为您登录的各种东西设置双因素身份验证,请查看它是否是一个选项。如果是的话,你不使用它只会对你自己造成伤害。
你有很多休眠账户吗?
我不是Quora的大用户。事实上,我已经很久没有问过或回答过一个问题了,我甚至都不记得上次登录是什么时候了。不过,我有一个账户,收到“你可能会完蛋”的邮件让我想起了这个事实。
虽然强大、唯一的密码和双因素身份验证可以帮助您在您喜爱的网站或服务总是被黑客攻击后保持安全,但不要忘记您以前使用的所有服务,不再访问。如果你不再访问Quora(或者Facebook,或者Twitter,或者其他什么),那么进入并删除你的账户。
虽然不能保证将来的漏洞不会挖出你的旧信息,但当你清除不再使用的帐户时,你有更大的机会防止信息外泄。
你会忽略很多邮件吗?
Quora首先通过电子邮件通知了受影响的用户,毫无疑问,它将使用电子邮件让用户知道与其重大安全漏洞有关的任何其他信息。虽然我们都会收到大量的电子邮件,但为诸如“安全”、“帐户”或“泄露”之类的词设置一个过滤器是值得的——举几个例子,这样你就不太可能错过通知你下一个重大漏洞的电子邮件。
如果你关注安全新闻,你可能会听到人们谈论大公司遭受数据泄露。你可能会担心这些漏洞会如何影响你作为一个用户。 ...
Quora被黑了。结果是,多达1亿Quora用户的数据可能已经被一个未知的第三方访问。Quora正在积极调查这一事件,并已采取各种措施改善其安全。 ...
到目前为止,数据泄露不仅对商业企业,而且对消费者和**来说,都是当今最大、最具威胁性的问题之一。随着互联网普遍使用的增长,数据泄露以惊人的速度增加。 ...
数据泄露是我们数字生活家具的一部分。几乎没有一天没有另一家公司泄露你的数据。尽管这些事件变得越来越普遍,但2018年其他一些事情也发生了变化。 ...
... 最近引人注目的例子包括Dropbox、Uber和Yahoo。假设你避免了这些,那么你可能已经陷入了5.6亿个密码的公共垃圾场。如果你被不断出现的密码泄露事件弄得不知所措,你并...
... 值得打电话给你的银行,告诉他们你的活跃账户可能是最近数据泄露的一部分。询问他们如何帮助保护您的帐户。 ...
在发生重大数据泄露之后,很难知道您的信息是否已被泄露,以及之后如何保护自己。提供信用监控服务的企业纷纷涌现,他们可以放心地为客户提供价格优惠的服务。但你应该为他们付钱,甚至注册****吗? 什么是信用监控服...
...”中的数据,PassProtect可以让你知道你使用的密码何时是最近一次泄露的一部分。 如果您在多个站点使用密码,仅此工具无法保护您,这就是为什么您应该使用密码管理器的原因。这些帮助您为每个站点随机生成一个密码,然后...
...或帐户名和密码组合来访问您的其他帐户。 例如,黑客最近泄露了超过11000个激战2帐户。他们没有使用键盘记录程序,也没有破坏游戏服务器——他们只是尝试使用泄露密码列表中的电子邮件地址和密码组合登录。重新使用已...
...时同样数量的账户5.33亿,因为他们的电话号码泄露了。最近的泄漏是基于此,使情况更糟。 相关报道:[最新消息:HaveIBeenPwned]5.33亿Facebook用户的个人数据被黑客窃取 如何检查你的电话号码是否从facebook被盗 首先,让我们从电...