43 meneos

Posible brecha de seguridad en DreamHost: más de 3500 cuentas pueden haber sido comprometidas

jotape www.davidarcos.net/2007/06/08/hackeado-blog-brecha-seguridad... 
por jotape el 08-06-2007 06:45 UTC publicado el 08-06-2007 06:45 UTC

"Más de 3500 cuentas de DreamHost han sido comprometidas, por culpa de un fallo de seguridad de su panel de control web. Todavía no hay versión oficial que lo confirme". Se explican las consecuencias del ataque, los consejos para los afectados (¡cambiad el password YA!), y se da información sobre la brecha de seguridad.

 16 comentarios tecnología, seguridad karma: 318
etiquetas: hosting, seguridad, brecha, dreamhost
negativos: 0   usuarios: 43   anónimos: 0   compartir:  twitter  facebook  tuenti  buzz  friendfeed
  1. #1    Se habla de que el agujero puede ser de un programa carqueado llamado CODE que almacena los logins de los FTP

    La verdad es que dudo mucho que el fallo sea de dreamhost, más que nada porque si fuese ese el caso nos habrían jodido a todos, y hay webs muy importantes alojadas en dreamhost.

    Yo por si acaso editaría el título por:

    Posible Brecha de Seguridad: más de 3500 cuentas de DreamHost pueden haber sido comprometidas
    votos: 0, karma: 6  link
    el 08-06-2007 07:34 UTC por --12093-- --12093--
  2. #2    Dreamhost es de los hosts más seguros que conozco. En el sentido de que deshabilitan muchas cosas que en otros hostings dejan al buen tun tun. Gracias a Dios a mí no me ha tocado la china.

    Una recomendación más: edita tu usuario en el panel de control y elige que sólo se pueda conectar por SFTP. A estas alturas de la vida mandar los datos sin cifrar es un disparate.

    Por cierto, parece ser que ha habido problemas similares en otros hostings que nada tienen que ver con Dreamhost, así que como comentan en Dreamhoststatus podría ser algo a escala mayor.
    votos: 1, karma: 19  link
    el 08-06-2007 07:54 UTC por Zootropo Zootropo
  3. #3    dreamhoststatus.com/2007/06/06/security-breach/

    Aquí se habla de que el error puede estar en los equipos de los hackeados.

    Aún así afirmar que 3500 cuentas están copmprometidas me parece muy fuerte, tanto de jotape, como del blogger.
    votos: 0, karma: 6  link
    el 08-06-2007 07:59 UTC por --12093-- --12093--
  4. #4    El hackeo se ha realizado mediante las cuentas de FTP, no mediante los paneles, es más desde el panel no se puede consultar la contraseña de los usuarios FTP, solo cambiarla, por lo que si se hubiese comprometido el panel de control, el/los hacker/s, para acceder a los ficheros tendría que cambiar la contraseña del FTP y el usuario legitimo no sería capaz de logearse con la antigua. Por otro lado si se tiene acceso al panel, el hacqueo podría haber sido muchísimo más grabe, ya que se comprometen todas las cuentas de correo, porque de estas si que se puede acceder a la contraseña.

    Por lo tanto la única forma de conseguir las passwords de FTP es o bien desde el propio PC de los usuarios o con el fichero passwords del sistema y luego crackear ese fichero.

    No se hasta que punto es fácil conseguir el fichero passwords de un servidor de dreamhost, pero teniendo en cuenta que se conocen pocos fallos de este tipo en dreamhost, supongo (y solo supongo) que debe ser bastante dificil, y desencriptar las contraseñas no es dificil, pero si muy lento, sobre todo en los casos de los usuarios que usan passwords aleatorias (y algunos de estos han sido hackeados también).

    Si usamos la premisa de que la explicación más sencilla suele ser la correcta, todo apunta al hackeo de los PC's de los usuarios, como está diciendo la gente de Dreamhost, y más teniendo en cuenta que este ataque también ha ocurrido en otros proveedores de hosting, con sistemas distintos de DH.

    Sigo diciendo que habría que cambiar el titular de la noticia
    votos: 0, karma: 6  link
    el 08-06-2007 08:49 UTC por --12093-- --12093--
  5. #5    #4 Pero que fichero de password ni que niño muerto... los hashes de las contraseñas se guardan en una bases de datos normal y corriente, justo con el resto de informacion del usuario, no tienen un fichero exclusivo ni nada por el estilo. Y ni siquiera me he leido todavia la noticia, pero si han conseguido inyectarle codigo al panel, han podido leer toda la dB mediante una consulta.
    votos: 3, karma: -20  link
    el 08-06-2007 09:08 UTC por s3rgio s3rgio
  6. #6    #5 no tienes ni puta idea, leete la noticia, y luego hablas, los usuarios de ftp son usuarios unix, no usuarios del panel. ¿donde has leido que han inyectado código al panel?

    Tu y tu manía de hablar sin leer ni entender
    votos: 1, karma: -7  link
    el 08-06-2007 09:10 UTC por --12093-- --12093--
  7. #7    Que no lo he leido te he dicho... que solo es por llevarte la contraria porque te inventas cosas...

    Por cierto, pero que coño... el que no tiene ni puta idea eres tu. Bueno algo si, pero eres el tipico medio-geek que como esta puesto en los temas ya se piensa que lo sabe todo y no, te equivocas...
    votos: 3, karma: -20  link
    el 08-06-2007 09:15 UTC por s3rgio s3rgio
  8. #8    ¿no te lo lees y discutes?

    y luego dices que no tengo ni idea y que me equivoco sin decir ni en que ni por que

    Te estás luciendo
    votos: 1, karma: -7  link
    el 08-06-2007 09:20 UTC por --12093-- --12093--
  9. #9    Si que lo he dicho... maneras de averiguar los passwords de las cuentas de FTP hay muchas, y lo que dices tu de no se que fichero de password y lo quese puede y no se puedehacer desde el panel es todo un sueño tuyo...

    No me estoy luciendo nada... estoy aburridico sin mas... normalmente de tus comentarios paso, no te creas que es cosa de hoy... pasa que lo de las baterias ya me ha tocado la fibra por que lo vi el otro dia a la dependienta del TPH y me jode mucho tanta incompetencia... si no se sabe se dice: No se... y ya esta, no hay que mentir, asi esta el gremio...
    votos: 2, karma: -7  link
    el 08-06-2007 09:23 UTC por s3rgio s3rgio
  10. #10    #3 el dato de las 3500 cuentas está sacado de blog.armandososa.com/2007/06/06/hackeado/

    Arreglaré el título con lo "posible" y "pueden" {wink}
    votos: 1, karma: 20  link
    el 08-06-2007 10:35 UTC por jotape jotape
  11. #11    Muchas gracais jotape, no era por tocar las bolas, pero es que en muchos sitios se está hablando de eso, y no hay nada claro.
    votos: 0, karma: 6  link
    el 08-06-2007 11:05 UTC por --12093-- --12093--
  12. #12    ¿La gente lee antes de comentar? {lol}
    En todos sitios dejan claro lo de las 3500 cuentas robadas, en masa, a DreamHost. También lo dicen en el blog de DreamHost-Status.
    Hay pruebas de sobras de que las páginas han sido comprometidas, así que el "pueden" no tiene sentido: es un hecho pasado.

    En mi caso, como el de muchos otros, no he usado el FTP a pelo en la vida, acceso solamente desde una máquina no-comprometida (y que en el momento de los defaces estaba apagada), y justo al cambiar la contraseña han cesado los "ataques".

    El ataque se hizo contra los paneles de DH, de donde sacaron las contraseñas. Intentaron acceder también a las tarjetas de crédito, si bien eso estaba mucho más protegido.
    Alucino cómo se pueden guardar las contraseñas en plano en pleno 2007 {shame}
    votos: 0, karma: 11  link
    el 08-06-2007 14:19 UTC por DZPM DZPM
  13. #13    #12 "Alucino cómo se pueden guardar las contraseñas en plano en pleno 2007"
    En el 2006 se guardaban "en claro" en una página de color naranja muy conocida {roll} {lol}
    votos: 2, karma: 27  link
    el 08-06-2007 14:23 UTC por Hass Hass
  14. #14    #13: ¿Barrapunto? {lol}

    Mientras dicha página no contenga mis datos personales, el número de mi VISA o mis fuentes de ingresos... el problema no será tan grande.

    Pero DH es un servicio que se paga (y bien), por lo que se le puede pedir un buen servicio a cambio.
    votos: 0, karma: 11  link
    el 08-06-2007 14:28 UTC por DZPM DZPM
  15. #15    Relacionada:
    meneame.net/story/datos-120.000-usuarios-espanoles-manos-ciberpiratas
    votos: 0, karma: 6  link
    el 11-06-2007 06:44 UTC por --12093-- --12093--
  16. #16    #6 Toma hombre... por listillo... En el propio blog de DH lo dicen (#12). ¿Las sacaron inyectandole codigo al panel si o no? Y sin leerme la noticia, para que luego hables...
    votos: 2, karma: -14  link
    el 11-06-2007 10:00 UTC por s3rgio s3rgio
comentarios cerrados

menéame