Das Frage-und-Antwort-Portal Quora fiel einem Hackerangriff zum Opfer. Dabei wurden Daten von 100 Millionen Nutzern erbeutet. Dies entspricht in etwa der Hälfte der registrierten Mitglieder des Portals. Der Vorfall wurde bereits vergangenen Freitag entdeckt. Die Untersuchungen dauern noch an.
Der Inhalt im Überblick
Welche Daten sind betroffen?
Nach Angaben von Quora erlangten die Hacker Zugang zu E-Mail-Adressen, Nutzernamen und verschlüsselten Passwörtern. Ferner wurden Daten kompromittiert, die Nutzer von verbundenen Diensten importiert haben. Auch (nicht-)öffentliche Inhalte und Aktionen (Fragen, Antworten, Bewertungen, Kommentare, Direktnachrichten) waren von dem Angriff betroffen; nicht jedoch anonym verfasste Fragen und Antworten. Die Identität von Personen, die solche Inhalte veröffentlichen, speichert das Unternehmen nach eigenen Angaben nicht.
Adam D’Angelo, CEO von Quora:
The overwhelming majority of the content accessed was already public on Quora, but the compromise of account and other private information is serious.
Auf den Vorfall hin hat Quora mit entsprechenden Sicherheitsmaßnahmen reagiert. Die Sitzungen der betroffenen Nutzer wurden beendet und ihre Passwörter zurückgesetzt. Das Unternehmen hat zudem weitere, nicht näher genannten Maßnahmen eingeleitet, um künftig unerlaubte Zugriffe auf die Server zu verhindern.
Was ist zu tun?
Zunächst sollte man prüfen, ob man als Nutzer der Website betroffen ist. Es lohnt sich also ein Blick in den eigenen Posteingang. Unter Umständen gehört man zu dem Teil der Betroffenen, welcher von Quora per E-Mail schon informiert wurde. Andernfalls hat Quora auch einen EU-Datenschutzvertreter nach Art. 27 DSGVO, welcher beauftragt ist, Betroffenen bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung zur Gewährleistung der Einhaltung der DSGVO als Anlaufstelle zu dienen. Zudem lohnt sich auch eine kurze Recherche auf einschlägigen Websites wie „Have i been pwned?“. Weitere Maßnahmen und Tipps finden Sie in unserem Beitrag: „Nutzerdaten gestohlen?! Was im Ernstfall zu tun ist“.
Daneben sollte geprüft werden, ob man das Quora Passwort mehrfach verwendet hat (wovon zwar generell abzuraten ist) und bei welchen Accounts dieses deshalb noch zu ändern ist. Für die Auswahl eines neuen, sicheren Passworts bei Quora oder anderen Diensten finden Sie Hilfestellungen im Beitrag: „Das perfekte Passwort“. Zudem sollten Sie überlegen, welche Informationen über Sie durch die Datenpanne offengelegt wurden, welche potentiellen Risiken dadurch entstehen und wie Sie diese minimieren können.
Einer der massivsten Hackerangriffe
Mit erbeuteten Daten von 100 Millionen kompromittierter Konten stellt der Vorfall einen der bisher größten Hackerangriffe dar. Lediglich der Einbruch in das Buchungssystem der Hotelkette Starwood und der Angriff auf Yahoo nahmen noch größere Ausmaße an. Bei der Hotelkette Starwood (Konzerntochter des weltgrößten Hotelkonzerns Marriott) erlangten Unbekannte Zugriff auf die Reservierungsdatenbanken und konnten bis zu einer halben Milliarde Daten entwenden; darunter zum Teil auch Kreditkarteninformationen. Den bislang massivsten Hackerangriff traf jedoch bereits im Jahr 2013 das Unternehmen Yahoo, bei dem damals drei Milliarden Nutzerkonten betroffen waren.
Die Vorfälle der jüngsten Vergangenheit zeigen außerdem, dass es im Unternehmensalltag immer wieder zu Datenpannen kommen kann. Durch die gesetzlich vorgeschriebene Pflicht (Art. 33, 34 DSGVO) diese zu melden, werden Datenpannen nun auch häufiger der breiten Öffentlichkeit bekannt. Umso wichtiger ist es für Unternehmen jeglicher Größe sich nicht nur mit dem Thema IT-Sicherheit zur Vermeidung von Datenpannen auseinanderzusetzen, sondern auch für den Ernstfall einen Reaktionsplan zur Bewältigung von Datenpannen auszuarbeiten.