Data Breach
Kommentare zum Quora-Hack - Datendiebstahl von 100 Mio. Nutzern
Hacker erbeuten Daten von 100 Millionen Quora-Nutzern
Die Wissensplattform Quora gab am Dienstag bekannt, dass Hacker sich einen Zugang zu Daten von rund 100 Millionen Nutzern verschafften. Durch die Lücke hatten die Hacker Zugriff auf Namen, E-Mail-Adressen, unkenntlich gemachte Passwörter und Direktnachrichten.
James Carder, CISO bei LogRhythm kommentierte den Vorfall folgendermaßen:
,,Am Ende des Tages beruht diese Panne auf personenbezogenen Daten, die wahrscheinlich schon aufgrund vieler anderer Lücken gestohlen wurden. Das Unternehmen hat angemessene Schritte in die Wege geleitet – was eine schnelle Benachrichtigung zur Datenpanne miteinschließt – um die Bedrohung einzugrenzen und zu mildern. Das Einzige, was man hinsichtlich eines erhöhten Risikos berücksichtigen sollte, ist, ob Nutzer ihre Quora-Konten mit anderen (z.B. Facebook, LinkedIn, etc.) verknüpft haben und ob diese Panne auch diese Unternehmen und die Informationen, die sie speichern, erreicht hat.
Um sich selbst zu schützen, sollten Quora-Nutzer definitiv ihre Passwörter ändern, besonders jene, die zu ihren verknüpften Konten anderer Plattformen führen. Sie sollten ein Auge auf ihre Kreditüberwachung haben und hinsichtlich ihrer anderen Konten und Anwendungen, die sie nutzen, besonders aufmerksam sein. Sie sollten sicherstellen, dass all ihre Passwörter einmalig sind und nicht über mehrere Konten hinweg genutzt werden, weil es Angreifern potenziellen Zugriff auf weitere Konten gewährt. Es ist geläufig, dass Angreifer gerade erst gestohlene Anmeldedaten auf anderen Verbraucherplattformen ausprobieren. Quora-Nutzer sollten nach vermehrtem Phishing und anderen Attacken Ausschau halten, weil Angreifer jetzt über ausreichend Informationen verfügen, um einen gezielten Angriff zu modellieren. Nutzer müssen davon ausgehen, dass der Inhalt, der auf der Quora-Plattform verfasst oder kommentiert wurde, nun öffentlich ist. Es sollte uns eine Lehre sein, dass man keine Dinge ins Internet stellt, mit der Annahme, sie seien geschützt oder bleiben vertraulich. Man sollte immer davon ausgehen, dass sie eines Tages veröffentlicht werden könnten.
Leider werden solche Pannen weiterhin auftreten. Wir werden von bedeutenden, aktuellen Datenpannen hören. Immer wieder Berichte zu lesen, wie so etwas passiert (z.B. wiederholte Angreifer-Methoden) und was gestohlen wurde (z.B. erneut dieselben Daten), wird uns desensibilisieren. Bis Unternehmen ihre Kunden durch entsprechende Investitionen in die Sicherheit angemessen schützen können, persönlich und finanziell, und für ihre Fehler verantwortlich gemacht werden können (z.B. würde Fahrlässigkeit dazu führen, dass ein CEO ins Gefängnis muss?), wird dieser Trend nicht nachlassen und auch die Prognose fällt nicht positiv aus.‘‘
Kommentar von KnowBe4 zum Hackerangriff bei Quora
Am 30. November 2018 teilte die online Fragedienst Quora mit, dass rund 100 Millionen Nutzer von einem Hackerangriff betroffen sind. Die Angreifer erbeuteten unter anderem sensible Informationen wie E-Mail-Adresse, unkenntlich gemachte Passwörter, Username, private Direktnachrichten, Kommentare und die Bewertungen der Antworten sowie Informationen, die von LinkedIn importiert wurden. Der Angriff auf Quora basiert wahrscheinlich auf Social Engineering und hätte durch ein modernes Security Awareness-Training verhindert werden können.
Detlev Weise, Managing Director bei KnowBe4 kommentiert: „Social Engineering und Malware stellen derzeit eines der größten Sicherheitsrisiken für sensible Daten dar. Die Komplexität der IT und mangelnde Schulung von Mitarbeitern erhöhen die ohnehin schon schwierige Aufgabe Onlinedienste, Desktop-Geräte und das gesamte Netzwerk eines Unternehmens abzusichern. Daher konzentrieren sich viele Unternehmen weitgehend auf die Abwehr dieser Angriffe, indem sie ihre Schulungsinitiativen zur Security Awareness intensivieren.“ „Security Awareness-Trainings helfen den Mitarbeitern dabei, wachsam zu bleiben und Social Engineering rechtzeitig zu erkennen, wodurch sie weniger anfällig für betrügerische Angriffe sind“, erklärt Weise. „Ein modernes Trainingsprogramm klärt die Teilnehmer über Anzeichen und Gefahren von Phishing-, Smishing- und Vishing-Versuchen auf und trainiert sie anschließend mit praxisnahen Simulationen. Eine dafür geeignete Plattform verfügt über eine hohe Zahl von Vorlagen für simulierte Social-Engineering-Angriffe per E-Mail, Telefon und SMS. Diese können automatisiert genutzt werden, um Mitarbeiter zu sensibilisieren, Sicherheitslücken und bösartige Betrugsversuche zu erkennen, sodass sie sich vor solchen unvorhergesehenen Angriffen schützen können. Das Risiko eines Datenschutzvorfalls wie bei Quora, kann dadurch stark reduziert werden.“
