Skip to content
Cyber Breaches
Recherche
Fuite de donnéesContenu

Violation de données Quora

La plateforme de questions-réponses Quora a révélé qu'un tiers non autorisé avait accédé aux données d'environ 100 millions d'utilisateurs, dont les noms, adresses e-mail, mots de passe salés et hachés, ainsi que des contacts et données démographiques importés.

Victime
Quora
données
100.0M
utilisateurs
100.0M
SecteurTechnologie
PaysÉtats-Unis

Le 3 décembre 2018, la plateforme de questions-réponses Quora a révélé qu'un tiers non autorisé avait accédé à ses systèmes et compromis les données d'environ 100 millions d'utilisateurs. Cette violation, découverte trois jours plus tôt, a constitué l'un des incidents de données grand public les plus importants de l'année.

Ce qui s'est passé

Quora a détecté l'intrusion le 30 novembre 2018, lorsqu'elle a découvert que « certaines données d'utilisateurs avaient été compromises par un tiers ayant obtenu un accès non autorisé à l'un de nos systèmes », selon les termes du PDG Adam D'Angelo. L'entreprise n'a pas détaillé publiquement le vecteur d'attaque exact mais a qualifié cet accès de malveillant.

Dès la découverte, Quora a lancé une enquête avec l'aide d'une grande société d'investigation numérique, a alerté les forces de l'ordre et a entamé la notification des utilisateurs concernés. Par précaution, l'entreprise a déconnecté tous les utilisateurs potentiellement concernés et invalidé les mots de passe des comptes utilisant une authentification par mot de passe.

Ce qui a été exposé

Les données compromises se répartissaient en trois catégories :

  • Informations de compte — noms, adresses e-mail, mots de passe (hachés avec un sel propre à chaque utilisateur) et données importées depuis des réseaux liés lorsque les utilisateurs l'avaient autorisé, telles que contacts, informations démographiques et centres d'intérêt.
  • Contenus et actions publics — questions, réponses, commentaires et votes positifs déjà visibles sur la plateforme.
  • Contenus et actions non publics — demandes de réponses, votes négatifs et messages directs (une fonctionnalité utilisée par un nombre limité d'utilisateurs).

Élément crucial, les questions et réponses publiées de manière anonyme n'ont pas été affectées, car Quora ne conserve pas l'identité des utilisateurs qui publient du contenu anonyme. L'entreprise a également précisé qu'elle ne collecte pas de données financières sensibles telles que les numéros de carte bancaire ou de sécurité sociale, réduisant ainsi le risque direct d'usurpation d'identité.

Impact

  • Environ 100 millions d'utilisateurs ont vu leurs données de compte exposées.
  • Les mots de passe étant salés et hachés, le risque immédiat de craquage des identifiants était plus faible que dans les violations en clair — mais la réutilisation des mots de passe restait préoccupante, et Quora a invité les utilisateurs à changer leurs identifiants sur tout autre site où ils les avaient réutilisés.
  • Quora a invalidé les jetons d'accès des comptes tiers liés (comme les connexions Google et Facebook) à titre de mesure de confinement.

Pourquoi c'est important

La violation Quora est un exemple type de réponse proportionnée à un incident : divulgation rapide quelques jours après la découverte, invalidation massive des sessions, catégorisation transparente des données affectées ou non, et conseils clairs sur la réutilisation des mots de passe. Son stockage des mots de passe salés et hachés a sensiblement limité les dommages en aval — contrairement aux violations contemporaines ayant exposé des identifiants en clair ou faiblement hachés. L'incident a rappelé que même les plateformes détenant des données « non sensibles » (sans identifiants de paiement ou gouvernementaux) demeurent des cibles attrayantes, puisque les identifiants réutilisés et les jetons de comptes liés conservent de la valeur sur l'ensemble du web.

Chronologie

  1. Quora découvre que des données détenues par l'entreprise ont été consultées par un tiers non autorisé.

  2. Le PDG Adam D'Angelo révèle publiquement la violation, estimant qu'environ 100 millions d'utilisateurs sont concernés.

  3. Quora déconnecte tous les utilisateurs concernés, invalide les mots de passe le cas échéant et révoque les jetons d'accès des réseaux liés.

  4. Quora commence à notifier les utilisateurs concernés par e-mail et mandate une société d'investigation numérique pour enquêter.

Sources

  1. helpnetsecurity.comhttps://www.helpnetsecurity.com/2018/12/04/quora-data-breach/
  2. washingtonpost.comhttps://www.washingtonpost.com/business/2018/12/04/quora-discloses-data-breach-affecting-million-users/
  3. cbsnews.comhttps://www.cbsnews.com/news/quora-data-breach-exposes-100-million-users-personal-info-2018-12-04/
  4. npr.orghttps://www.npr.org/2018/12/04/673144745/100-million-quora-users-affected-by-malicious-data-breach

Incidents liés

Fuite de donnéesRésolu

Exposition de données Exactis

La société de marketing de données Exactis a laissé une base de données de près de 340 millions d'enregistrements sur des particuliers et des entreprises exposée sur un serveur accessible publiquement, sans pare-feu. Chaque enregistrement contenait jusqu'à 400 champs de données de profilage personnel, des coordonnées à l'âge des enfants, en passant par la religion et les habitudes.

Victim
Exactis LLC
Records
340.0M
Fuite de donnéesRésolu

Fuite de données Ticketfly (2018)

En mai 2018, le site web du service de distribution de billets Ticketfly a été défacé par un attaquant et a ensuite été mis hors ligne. L'attaquant aurait demandé une rançon pour partager les détails de la vulnérabilité avec Ticketfly mais n'a pas reçu de réponse et a par la suite publié les données de la fuite…

Victim
Ticketfly
Records
26.2M
Fuite de donnéesRançon payée

Fuite ShinyHunters chez Instructure Canvas LMS (2026)

ShinyHunters a exploité le programme de comptes Free-For-Teacher de Canvas pour exfiltrer 3,65 To de données couvrant environ 275 millions d'utilisateurs dans près de 9 000 établissements scolaires — noms, adresses e-mail, identifiants d'étudiants et certains messages privés entre étudiants et enseignants. Instructure aurait payé la rançon et les données auraient été détruites.

Victim
Instructure (Canvas LMS)
Loss
$10.0M
Records
275.0M
Fuite de donnéesRésolu

Fuite de numéros de sécurité sociale National Public Data

Une fuite chez le courtier en données National Public Data (Jerico Pictures) a exposé une base d'environ 2,9 milliards d'enregistrements contenant noms, numéros de sécurité sociale, dates de naissance et adresses collectés depuis des sources publiques et non publiques, déclenchant une vague de poursuites et la faillite de l'entreprise.

Victim
National Public Data (Jerico Pictures, Inc.)
Records
2.90B