A la suite du groupe d’hôtellerie Marriott qui a annoncé vendredi 30 novembre la violation des données de 500 millions de personnes ayant fréquenté un des hôtels du groupe, le réseau social Quora a annoncé mardi 4 décembre avoir été l’objet d’un piratage informatique.
Les données de près de 100 millions d’utilisateurs auraient ainsi été piratées, soit la moitié des utilisateurs du réseau social. L’attaque serait survenue vendredi 30 novembre dernier.
L’activité de Quota est organisée autour d’un système de question-réponse participatif. Les utilisateurs du réseau social peuvent contribuer en formulant des questions ou en proposant des réponses aux questions d’autres utilisateurs. L’utilisation du service nécessite la création d’un compte, et donc la communication d’un certain nombre de données personnelles ainsi que la création d’un mot de passe.
La société a indiqué que les données concernées comprenaient les informations de compte (nom, adresse e-mail, mot de passe chiffré, données importées des réseaux sociaux liés au compte), les contenus et actions visibles par les autres utilisateurs (questions, réponses, commentaires et votes), associés aux informations précédentes, mais également les contenus et actions privées, invisibles des autres utilisateurs (demande de réponses, votes et messages privés).
Quora a également indiqué avoir informé par email tous les utilisateurs susceptibles d’avoir été victimes de l’attaque. Les autres utilisateurs ont également été invités à réinitialiser l’ensemble de leurs mots de passe pour le cas où de nouveaux cas de violation de données apparaitrait, alors même que Quora a déclaré utiliser un système de chiffrement diffèrent pour chaque utilisateur. Les utilisateurs se connectant au réseau social par le biais de comptes d’autres réseaux sociaux ne sont pas concernés par la violation des mots de passe. En revanche, les données collectées sur ces autres réseaux sociaux sont susceptibles elles-aussi d’avoir subi une violation.
La rapidité de la réaction de Quora peut surprendre dans la mesure où la société a indiqué ne pas connaitre la nature exacte de la faille ni la date précise de l’intrusion. Dans le communiqué publié sur le site du réseau social, la société mentionne poursuivre ses investigations sur l’origine du piratage.
L’entrée en vigueur du RGPD (Règlement Général sur la Protection des Données) exige désormais des sociétés ayant été victime d’une violation des données personnelles de leurs utilisateurs, mais également de leurs salariés, de notifier l’autorité compétente en matière de protection des données personnelles. La société concernée doit documenter en interne la nature de la violation et les mesures prises pour y remédier. En cas de risque pour la vie privée des personnes, l’incident doit être notifié à la Cnil. En cas de risque élevé, notamment en fonction de la nature des données ayant fait l’objet d’une violation, la notification des personnes concernées est obligatoire.
La notification doit être réalisée dans les meilleurs délais et au plus tard 72 heures après constatation de la violation des données.
Source : Quora Security Update