Antes de empezar
1 - Esto va en serio
2 - No me pidais una copia
3- Espero no meterme en líos, no es mi intención tocar las narices en un mal día de una página que visito todos los días. No será ni la primera ni la última vez que pasa, y aunque la responsabilidad de que no le hackeen la web a uno es obviamente de dueños y administradores, la responsabilidad de que cuando eso pase no llegue la sangre al río es individual. ¿has usado la misma contraseña en varios sitios? ¿tu email del trabajo? Pues háztelo mirar.
Bueno, dicho esto y mirando el ficherito en cuestión.
Lo que contiene es un volcado de la tabla "accounts" (únicamente) que llega hasta el usuario 313768.
La fecha de última modificación de algún usuario es 2022-09-14, lo que es una pista de cuando se hizo esta copia.
Están los emails, la última IP, las claves en hash, el tipo de usuario (es decir, la lista completa de admins), y poco más.
No están vuestras tarjetas de crédito, ni número de DNI, ni nada.
¿Hay que entrar en pánico? Bueno, si habeis usado un email "serio" pues se puede llegar a vuestro nombre real.
Portaos bien :¿Necesario cambiar el email? Creo que da igual, porque el volcado está por ahí ya, así que de poco va a servir si lo haceis por privacidad.
¿Necesario cambiar la contraseña? Pues si teneis una de las que están en algún diccionario de hashes, lo mismo es buena idea :-)
Comentarios
No están vuestras tarjetas de crédito, ni número de DNI, ni nada.
Bueno, depende, yo uso como contraseña mi número de tarjeta de crédito seguido del CVC y del pin del cajero, así no se me olvidan.
#9 Sin la fecha no pueden completar la operación.
#9 Es lo más apropiado.
#9 ¿Y no metes en la contraseña el número de teléfono por si acaso?
#9 Pero ¿cómo va a estar eso si esos datos no los tiene Menéame?
#42 el premium se paga con tarjeta, y piden el DNI ..
#42 hola
Es una coña
#9 Oye, pues bien pensado, porque yo el pin lo escribo detrás de la tarjeta pero al meterla en el cajero no puedo verlo.
#65 Yo para evitar eso, tengo dos tarjetas y en cada uno llevo apuntado el pin de la otra. Y así si me roban meterán el pin que ven apuntado y que no es, bloqueando la tarjeta. Es un win-win
#9 la contraseña como tal no está sino un hash, es decir el resultado de aplicar una formula matematica a tu contraseña que da un chorizo de letras... llegar a la clave real es imposible, lo que puede ocurrir es que al ser una formula otra palabra genre el mismo hash, hay diccinarios de hash que te permiten obtner palabras que generan ese hash y de ahi que contu contraseña y o otra palabra se pueda entrar
#9 Tienen tu IP, imagina que tuvieses en el pasado un flame con un narcotraficante de esos mexicano que cuelgan cadáveres en un puente con un cartelito... y tiene tu localización ahora.
#9 Como idea básica, una contraseña se suele pedir que tenga una combinación variada de diferentes tipos de caracteres por algo. Usar solamente números es muy mala idea. En una máquina de crackeo potente, se tardan apenas segundos en recorrer todo el espacio de claves hasta una cifra alta de caracteres. Como mínimo, añade un par de letras (mayúsculas y minúsculas mezcladas) y algún símbolo extra.
Hasta la id 300k
No está mal, todo cuentas viejas.
Yo ya me he cambiado la contraseña, por si acaso.
De todas formas, con la alta tecnología de esta web, el hackeo tampoco nos debería pillar por sorpresa. No es agradable, pero tampoco se puede hacer nada al respecto.
#3 cuentas viejas y muchas borradas.
A ver si alguien lo confirma... pero... si te das de baja en mnm, ¿Tus datos siguen estando ahí?
#41 Aun estoy esperando el email comunicando la situacion. Pretender dar por informados a los usuarios afectados por un post en un blog me parece una muy mala gestion.
En septiembre de 2020 ya informe de un aviso de filtracion que me lanzo el antivirus y quedo en nada diciendome que no habian detectado nada. Ahora por lo visto vuelve a suceder pero nos enteramos por otra persona y escriben un post cuando ya no lo pueden ocultar al ser tan publico (por cierto diciendo que nos van a obligar a cambiar los passwords, cosa que aun estoy esperando tambien). No comunican por email a los afectados del hecho sucedido (quizas para evitar que les denuncien?)
Y para colmo un usuario de la comunidad es el que mas informacion nos ha podido dar (por cierto, gracias).
#3 SI los passwords no estan encryptados es para hacerselo mirar seriamente
#50 Pues no, no están encriptadas... están hasheadas con sal
#69
#76 Encriptado y hasheado no son lo mismo. Básicamente porque el encriptado es reversible mientras que el hash, no.
#3 Yo me libro por 10k usuarios.
#51 Yo también me libro, y menos mal, porque utilizo la contraseña 1234 y el email del curro.
#80 ¿y dónde curras?
#86 En el CNI. Uy! He comentado con mi cuenta clón!
#102 y #86 A los agentes del CNI no nos permiten decir dónde trabajamos, lo siento.
#51 Aqui uno con cuenta nueva... no he logrado recuperar la anterior, no me acuerdo el mail que use
#51 Yo no, y por más de 300k usuarios
Al volver a entrar a la web, de hecho, me redirigió automáticamente a una pantalla para resetear el password.
#3 Cuentas viejas pero que aquí seguimos
#58 tengo la 127 pico mil... me siento viejo ahora mismo.
#58 #66
Y que aquí sigamos no tengo claro si es bueno.... O malo....
#66 Si te sirve de consuelo tengo 347mil por cambié de cuenta, si no sería anterior a la tuya... recuerdo que llegué a Menéame porque me la recomendó una profesora en el instituto allá por 2007.
#81 ¿una mujer recomendando menéame, y en 2007? nos estás intentando engañar!
#81 pues a ver qué email y contraseña usabas en la primera, porque eso sí lo tienen.
#58 #66 noobs...
#83 cuando yo llegué todo esto era campo
#92 #93 ¿un campo de nabos?
#93 La verdad es que tardé más de dos años en registrarme. Entré durante años como voyeur jejeje...
#66 En los 109k ando yo
#66 yo no llego ni a la mitad de eso. Cuando creé la mía todo esto era campo.
#66 120K por aquí
#66 joer, eso es ser joven yo la oncemil y pico, mi email es meneame@ymascosasquenoosdire, la contraseña nunca me acuerdo, la suelo preguntar a Google
#58 yo tengo esto en mi perfil antiguo:
ID y Nivel 4489 / normal
Eso quiere decir que mi cuenta no se ha pillado, o que si?
#58 Que tenga que volver a meneame solo por verificar si está afectada me toca los cojones
Por ser cuenta vieja, pero que se había pirado y evidentemente no ha recibido email comunicando ser de los afectados...
#3 Siendo del 2007, yo he pillado cacho, pero ya he cambiado la contraseña.
Afortunadamente, la anterior solo la tenia para este usuario, asi que estoy tranquilo.
#3 me alegro de ser un abril de 2022
#3 me salvo por poco, estoy en rango de ID 340.000
#3 id 75k y poco, me cago en tó
#3 ID 160428, caigo de pleno, pero para lo que les va a servir... Yo ya le había comprado la cuenta a un jaque ruso
#3 Aquí un "cuenta-vieja" y sin cambiar email ni password. Viviendo al límite.
#3 ¿Esto del jaqueo no será un intento de los admin de localizar clones?
Vamos a simular un jackeo y que la gente cambie su password. Ahora sácame un listado de usuarios que han cambiado su password y desde qué IPs. Tachaaaan!!
#3 Yo estoy por encima de ese número y alguien ha intentado acceder a la cta de correo asociada. Mucha casualidad, no?
#3 Pues hala, me ha tocado. Lo que tiene ser antiguo aquí
Menos mal que creé la cuenta con datos fuleros
#3 ups será??
#0 Bueno, dicho esto y mirando el ficherito en cuestión.
Lo que contiene es un volcado de la tabla "accounts" (únicamente) que llega hasta el usuario 313768.
¿Has comprado el archivo a los hackers que sabes tanto? ¿Si no, cómo has visto ese archivo y sabes tanto de él?
#4 no voy a responder a esa pregunta
#5 a mí me interesa más por qué meneame no avisa de la brecha a sus usuarios como obliga la LOPD?
#36 en GDPR tienen dos obligaciones:
- Avisar de la brecha de seguridad
- Eliminar los datos de aquelllos usuarios que haga mucho tiempo que no se conectan (normalmente 3-5 años)
#64 Te crees que siguen la ley? si ni han avisado por email a los afectados, van a seguir la GDPR 100% made in spain, eso si seguro que se pasar por el hilo a llenarlo de amor con strikes
#64 ¿Eliminar los datos de aquelllos usuarios que haga mucho tiempo que no se conectan? De esto no he escuchado nunca hablar y me he leído la ley. ¿Tienes algún sitio para que pueda mirarmelo?
#64 Tienen al becario, que también desarrolla la web y que seguramente ha causado la brecha de seguridad, ahora mismo preparando el mailing con mailchimp...
#36 No se informa de la brecha, ni a quienes afecta, ni a qué tipo de datos se han visto comprometidos.
ccguy por aportar algo de información, aunque deberían ser los admin los que desde el minuto 1 lo hubieran explicado claro.
Gracias
#5 La has jiakeado
@admin #0 #5 Mi preocupación va en varios frentes.
1. Ante una brecha de seguridad que afecta a cientos de miles de usuarios, ¿cómo demonios puede considerarse que habéis informado a nadie con un post en un blog y un meneo? Tenéis los correos de los usuarios afectados, USADLOS para lo que han de servir, e informadles del riesgo para que tomen las medidas pertinentes.
2. Leyendo el post del blog de Menéame, se entiende que en el momento del ataque éste fue detectado pero no se hizo ningún caso. No fuisteis conscientes de la brecha de seguridad hasta que alguien se puso a vender los datos públicamente. Es decir, nadie en Menéame sabe cómo robaron los datos, lo que implica que puede volver a suceder en cualquier momento. De hecho no cuesta imaginar que el mismo que lo ha hecho sin que os enterarais lo va a volver a hacer en el futuro.
3. A tenor de lo expuesto en el punto 2, ¿sois conscientes de que las cuentas cerradas o baneadas no tienen posibilidad de cambiar su contraseña y por tanto sus datos están expuestos a ataques posteriores? No ya porque les puedan robar una cuenta de Menéame (que está cerrada e inaccesible), sino porque se pueden utilizar estos datos de Menéame para robarles otras cuentas en otros servicios, y el propio Menéame imposibilita a esos usuarios prevenirlo. No estaría de más eliminar automáticamente los hashes y datos personales de las cuentas cerradas, o como mínimo que se almacenen en otra base de datos inaccesible desde los servidores de explotación.
#4 Debes ser el novato de la serie de espias.
Preguntando a destajo
¿Qué volcado?
#1 el que tengo aquí col.....
#2
#0 y por alusiones: "la responsabilidad de que no le hackeen la web a uno es obviamente de dueños y administradores". Tener acciones me convierte en "dueño", supongo. Estoy alejado del día a día e incluso cancelado de la estrategia. De hecho, no estoy ni en el consejo https://librebor.me/en/borme/empresa/meneame-comunicacions/
Eso sí, cuando a las 0:22 de lunes 3 recibí el primer aviso, enseguida avisé a Remo y Seijo; las 72 h para notificarlo (si finalmente procedía o procediese) habrían empezado a contar. No soy responsable del funcionamiento técnico de ese lugar, pero tampoco soy irresponsable. No sé si se me explico 😅
Hola #0
No lo dices explícitamente, pero diría que de este artículo se deduce que habrías comprado esos datos filtrados.
De ser así, creo que aunque tu intención sea analizarlos para tranquilizar a los demás, te podría exponer públicamente en el caso de que finalmente esos datos se usen con finalidad delictiva.
Diría que la compra, a sabiendas de datos procedentes de un hackeo también podría incurrir en un delito en sí mismo, pero esto que lo aclaren los expertos legales que suelen andar por aquí, y mis disculpas por anticipado si me equivoco.
En cualquier caso de no haberlos comprado, ¿Cómo has llegado a esas conclusiones? ¿Se ha publicado el listado completo en algún otro sitio?
Gracias
#67 ya te ha dicho que no lo va a decir. Pero hay más posibilidades, por ejemplo: que conozca a los admin y le hayan dejado mirar una copia de la tabla que generaron los hackers y haya quedado en el servidor, que haya entrado por el mismo sitio, que esté rulando la tabla en la deep web o en una plataforma P2P, que haya usado otro exploit para copiarla o que se lo haya confiado otra persona que sí haya pagado.
En alguno de esos supuestos no lo dirá por las consecuencias legales y en otros tampoco lo diría para que no venga otro y haga lo mismo.
Mi cuenta es de 2008 por lo que me pilla de lleno. Me parece un problema serio de privacidad. Contraseña cambiada, puede que en unos dias borre la cuenta e incluso hasta busque la manera de borrar todos los comentarios. Para mi la escencia de esta web es la libertad que da la privacidad. Si esa privacidad se rompe, se rompe todo.
#60 una duda, ¿has recibido alguna comunicación por parte de Meneame de que tu cuenta está dentro de las afectadas? porque si no, están incurriendo en una ilegalidad
#70 No, no he recibido ninguna comunicación.
#70 hay 72h de plazo
#60 +1 pero te da igual, es hasta peor porque al borrar la cuenta los comentarios permanecen asociados a tu ID con el formato
123456. Y el que tenga la tabla tiene aparte de tu correo, el correo original que usaste para registrarte tu nick y tu ID.Tendrían que tocar código y cambiar la manera se presentar los comentarios de usuarios dados de baja y aún así alguien se los habrá descargado haciendo scrapping
No quiero justificar a nadie, entiendo que se ha cometido algún error pero esto es el pan nuestro de cada día.
Hace unos meses robaron datos de GoDaddy que es de los mayores registradores del mundo, si con todo el dinero y medios técnicos y humanos que tienen les pasó eso, tampoco es tan raro que haya pasado aquí con muchos menos medios.
Lo mejor es hacernos a la idea de que esto va a pasar antes o después en casi todos los sitios y dar los mínimos datos posibles y no reciclar contraseñas.
Si han volcado 300000 cuentas y solo es el 17% ... En Menéame hay casi 1800000 usuarios registrados? Muchos me parecen...
#13 A una media de diez clones por usuario "real" siguen siendo muchos. Igual son 100 clones por usuario ...
#13 si sumas las cuentas creadas por mediatize para spamear y las de trolls otanistas y putinejos pocas me parecen…
#23 no te olvides de los ciber voluntarios del gobierno de progreso que aparecen en oleadas
https://www.libertaddigital.com/internet/el-portal-meneame-expulsa-a-varios-voluntarios-ciber-progresistas-por-inundarlo-de-noticias-contra-el-pp-1276322830/
#13 ya lo han actualizado: "Aparentemente solo han tenido acceso a email y contraseña cifrada del 41,5% de usuarios, los primeros. Teniendo en cuenta el ratio de actividad de usuarios activos entendemos que no afecta a más del 17% aproximadamente de usuarios que sigan conservando ese email y contraseña (tenemos más de 660.000 usuarios registrados, pero hay muchos bots y mails inactivos)"
#37 Sabes que empiezo a pensar? En el post del blog pusieron que tardaron porque lo estaban estudiando con los servicios juridicos. Y creo que el consejo que les dieron es "tapar todo lo que podais porque sino os va a caer un marron para flipar". Y eso de "Aparentemente"...no me jodas!!! no lo saben?? que un usuario sin acceso al sistema nos ha dicho mas verdades.
Estoy de acuerdo con lo que expone #0
A ver, podríamos preocuparnos si esto fuera, por ejemplo, un sitio de compras con movimientos de tarjetas. Y aún así.
O si fuera una página sensible con datos médicos o financieras.
Pero que me haga spam a una cuenta chungaleras (todo el mundo deberíamos tener un yahoo o hotmail para estas cosas) o incluso a la que usemos con frecuencia es el "peligro" más grande que corremos.
#12 El sábado pasado alguien intentó entrar en mi cuenta de Amazon. Mismo email. Justo ahora he caído.
Es para preocuparse
#19 bueno, eso es relativo. Usar el mismo email aquí que en Amazon, pues mejor que no, pero el punto es no usar el mismo pass, como sería lógico. Al final, que conozcan tu email con un pass exclusivo para MNM evita problemas más allá. No sé si es tu caso, pero bueno.
#19 la publicación de la oferta fue domingo 2-10-2022 a las 18:27, así que no fue por eso.
#43 Gracias. Pues me dejas entre más tranquilo y más preocupado. El tipo que me intentó entrar en Amazon tenía el password pero, por suerte, no pasó la segunda verificación. Cambié rápido de password y problema resuelto. Pero me dejó mosqueado el tema.
#44 Yo me preocuparía 😅
Según sea tu contraseña, podrás imaginar si viene de personas que te conocen. Si es que sí, todavía te tienes que preocupar mucho más 😆
#45 No. Mis contraseñas son seguras. No las cuido demasiado, pero son seguras. Nadie las conoce y son muy raras. Y tengo extrañas combinaciones entre ellas. Pero a veces puedo llegar a compartir alguna por error.
#12 Aunque solo sea el mail, pass hasheado e IP ya puede ser peligroso y dice poco de la seguridad de esta página. No hay que quitar importancia a estas cosas.
#38 Las telcos nos van cambiando las IPs al 99% de nosotros. Un email es algo público. Y un hash que no coincida con el password de otra cuenta tuya ...
¿dónde ves tú el peligro?
#33 Por aquí puedes ver algo: https://haveibeenpwned.com/Passwords
...pero si tu mismo tienes dudas de que determinada contraseña pueda estar en un diccionario ten por seguro que está...
Sean cívicos no se insulten por email sigan usando los comentarios
Imagina que por unos dias no entras en la web, y te pierdes lo sucecido no hay ningun aviso por parte de la web, yo no he recibido ningun email, que gran servicio todo hay que decirlo
#0 ¿se sabe como han conseguido la información?
a través de la nueva web, la vieja, directamente de la bbdd?
#34 seguro que es una nueva funcionalidad de la versión "no rancia"
Id 7000 y pico, me ha pillado seguro. Pero vamos, aunque no me preocupa tampoco me hace ninguna gracia.
Que poco fiable, menudos patanes. En lugar de tanto strike y tanto censurar dedicad el esfuerzo a mejorar la web.
#87 Aqui id #59131, comparto tu comentario palabra por palabra.
#95 Es la famosa lucha de clases
#0 alguien comentó en otro meneo que aparecen el email de registro y el mail actual.
Esto es cierto?
#59 Por lo que he visto en la captura, es correcto.
#59 Si entras en tu perfil, puedes descargar los datos que Meneame tiene de ti. Ahí aparece, por ejemplo, ese dato.
No se por qué me molesto en ocultar datos, ahora esa información está al alcance de casi cualquiera
#59 Sí
¿Entonces, he cambiado las password, el pin del banco, formateado el pc y quemado mi documentación de identidad, para nada?
joder, ¡¡estas cosas se dicen ANTES!!
#21 eso no es notificar. Llegó a portada porque alguien la envió, pero pudo no haberlo hecho. Es como si lo quisieran tapar, porque no se les dio ni por poner un aviso en portada ni nada.
Tienen los emails de las cuentas afectadas, no costaba nada notificarlo por ahí.
#62 Hay unos pasos definidos por ley para notificar intrusiones. Y los están siguiendo. El post en el blog es el primer paso. A la vez, hay que solucionar la intrusión y luego informar a los afectados.
Muchas grandes empresas tienen intromisiones similares y se aseguran de publicarlo con la boca pequeña. Cumplir la ley y justo. Y si pueden, se callan.
Desde la ignorancia. ¿Qué es un diccionario de hashes?
#75 Es una lista de contraseñas comunes más el hash que les corresponde. El proceso de generar el hash a partir de la contraseña es muy sencillo, pero el proceso inverso, obtener la contraseña a partir del hash es prácticamente imposible. Las webs, para comprobar tu identidad, lo que hacen es obtener el hash a partir de la contraseña que le das y lo comparan con el hash que tienen almacenado. Si coincide, puedes entrar.
Por lo contrario, si tienes solo el hash es como si no tuvieras nada. No puedes obtener la contraseña. A menos que encuentres ese hash en una lista con la contraseña a partir de la cual se obtiene. Pero claro, esos diccionarios no pueden contener cualquier combinación de los billones posibles de contraseñas. Tan solo las más comunes.
#82 lo que dices es teóricamente correcto, pero no lo es de forma práctica. Los hashes usados (md5 y sha2) son algoritmos súper rápidos porque se pensaron con propósito general. A día de hoy, encontrar colisiones (la pass a partir del hash) es terroríficamente fácil y rápido con el uso de GPUs
#75 El hash es una operación matemática que a cada contraseña le asigna un hash:
micontraseña -> 2deae7fb1fb94ee8e23919b093b26982
El diccionario de hashes sería una tabla con lo contrario, a cada hash que haya en la tabla le asigna la (o mejor dicho una) cadena de caracteres de la que procede:
2deae7fb1fb94ee8e23919b093b26982 -> micontraseña
Aparecen los datos de un usuario borrado? #0 saludos.
#52 sí me dices uno lo busco
#131 #52 Creo que no se pueden borrar usuarios sino deshabilitar, y segun la descripción se borran cosas pero no los comentarios
#33 en mi opinión son técnicas como demasiado básicas. Si tienes un pass un poco particular es prácticamente imposible que aparezca. A no ser que en su momento usases el mismo pass en alguna web cutre que siga con md5, que es vulnerable.
#33 No hay un diccionario único, pero vamos si usas cualquier nombre con significado "real" o bien solo números es muy probable que esté, Por eso siempre se recomienda mezclar letras, número y símbolos y que la contraseña sea de cierta longitud.
Mira, yo tenía puesta una cuenta de correo mu vieja y llevaba tiempo queriendo cambiarla por la que uso habitualmente. ¿Sabeis qué? Que lo mismo dejo la que tengo.
#79 pues mejor porque salen ambas, la de registro y la actual.
Ni idea de por qué se guarda la de registro. Se pueden montar un lío con la LOPD por conservar datos antiguos que el usuario ha actualizado.
Se supone que las contraseñas están encriptadas. O así debería ser.
#10 no creo que los Hackers respeten los cementerios
#14, si yo me jodí cuando la RAE añadió la acepción «mala» a interfecto, joderse los friquis si la RAE recoge «encriptar»
#20 jamás!
#22 ¿Pero en cambio aceptas criptografía y criptoanálisis que son mucho mas anteriores a encriptar? Si es así háztelo mirar
#14 Deduzco que, entonces, según tú, "empotrar" es "meter dentro de un potro"...
#57 De tortura, ademas.
#90 y "embeber" es "meter dentro de una bebida" 😝
#57 y "encolar", "meter en una cola"...
#10 están hasheadas que es parecido...
#10 Lo normal es que haya un hash, el hash no es reversible, pero puedes tener un diccionario que indique para contraseñas comunes cuál es su hash, y así hacer la operación inversa.
#29 ¿existe algún sitio donde se pueda comprobar si tu contraseña existe en algún diccionario de contraseñas? cc #31
#33 No metas tu contraseña en ningún sitio, ¡la estás añadiendo al diccionario!
#29 Eso se soluciona si usan salt, no se si es el caso.
#29 No solo eso, además está la posibilidad de generar una colisión de hashes si el algoritmo es lo suficientemente antiguo (MD5 por ejemplo). Eso quiere decir que se puede generar una cadena que, hasheada, coincida con el hash de otra no conocida, saltándose las comprobaciones por comparación espero que los hashes estén salteados. Si no, puede haber un problema.
#_33 sí, parece muy buena idea metet tus contraseñas para "probar", así los hackers pueden incorporarlas directamente a su diccionario
#29 te cito que me tiene en ignore
#29 Creo que estaban en MD5 que tiene hasta colisiones y todo. Así que mientras encuentres alguna con el mismo MD5 hash listo, no tiene por que ser la autentica.
#10 existen librerías de contraseñas "hasheadas". Si usan encriptación "normalita" sin más seguridad (md5 sería como para echarse a llorar y sha1 a pelo casi que también...) lo mismo si tienes un pass normalito te lo consiguen averiguar (tan simple como consultar en la lista).
...hasta el usuario 313768.
324774! Me he librado por los pelos!
Aun así voy a cambiar mi password para que no coincida con la combinación de mi maleta...
#0 ¿En qué fecha aproximada se registró ese usuario 313768?
#6 en 2012 creo. Realmente el volcado parece ser reciente pero parcial.
No sé si el resto saldrá más adelante o es que alguien hizo a propósito una selección de los primeros registros y no es que se haya hackeado la web en sí sino que alguien la ha cagado con los permisos de ese volcado.
#7 edit, me lié
#7 Siendo todos los campos VARCHAR, no me extrañaría que explotara el servidor al hacer el dump y se quedara por ahí....
#7 No sé si el resto saldrá más adelante o es que alguien hizo a propósito una selección de los primeros registros
¿Alguien interesado en vender cuentas antiguas inactivas quizas?
Según la ley deberían notificar en 72h que ha ocurrido una brecha. Espero que al menos sigan el protocolo...
#15 Ayer publicaron un post en el blog aunque poco detallado. Están asesorados legalmente
#15 eso no es notificar
Mas allá de los articulos... ¿hay comunicado oficial por parte de meneame de que han tenido fallo de seguridad? Es obligatorio
Por lo que dice #0 las password no están salteadas.
Y para meneame, implementar ya una manera de eliminar la cuenta con toda la actividad asociada, lo de deshabilitar cuenta parece a todas luces insuficiente, que hay mucho enfermito que se va a dedicar a buscar correos de gente que conozca a ver lo que ponen en Meneame, o incluso intentar cruzar los emails con cuentas de otras redes sociales.
No lo digo por mi, que a mi me la pela la verdad, no me meto en grandes discursiones ideológicas, pero seguramente a más de uno le tocará sufrir esto y se podrían minimizar daños de forma más o menos sencilla.
#49 aquí muchos no podríamos ser concejales, fijo.
#49 @admin Como comentan, este hackeo pone en serio peligro la privacidad de los usuarios. ASAP se debería:
1. Cuentas deshabilitadas: Desactivar la navegación de su contenido (comentarios, votos, etc).
2. Cuentas habilitadas: Añadir una opción en el perfil para no permitir la navegación de su contenido.
¿Podéis pasarlo al equipo de desarrollo para su valoración? Gracias.
#_7 ¿Eso es un sí?
Sí investigan mi correo tan solo obtendrán resultados sobre un personaje secundario de una serie de libros de fantasía. Así que muy bien por mí.
#0 Gracias por la información
Aproveche y actualicé movidas de mi perfil, gracias!
Afortunadamente hace tiempo que uso un correo único de mi dominio en cada sitio en el que me registro, si me lo pillan sólo vale para ese sitio, las contraseñas también son únicas, generadas por KeePassXC.
Mi anterior usuario alfema_fb es del 2010, pero se validaba con la cuenta de Facebook, la tuve que abandonar porque era imposible acceder a MNM a partir de implementar el nuevo diseño.
Me libro de largo, pero ya he cambiado la contraseña. Y del email es el que uso para Spam y registros no importantes.
En caso de autenticarte mediante Proveedor Externo que posibilidades hay de que te pillen la pwd?
que tipo de hash es? algunos se pueden buscar en diccionarios de hashes y otros no.