Antes de empezar
1 - Esto va en serio
2 - No me pidais una copia
3- Espero no meterme en líos, no es mi intención tocar las narices en un mal día de una página que visito todos los días. No será ni la primera ni la última vez que pasa, y aunque la responsabilidad de que no le hackeen la web a uno es obviamente de dueños y administradores, la responsabilidad de que cuando eso pase no llegue la sangre al río es individual. ¿has usado la misma contraseña en varios sitios? ¿tu email del trabajo? Pues háztelo mirar.
Bueno, dicho esto y mirando el ficherito en cuestión.
Lo que contiene es un volcado de la tabla "accounts" (únicamente) que llega hasta el usuario 313768.
La fecha de última modificación de algún usuario es 2022-09-14, lo que es una pista de cuando se hizo esta copia.
Están los emails, la última IP, las claves en hash, el tipo de usuario (es decir, la lista completa de admins), y poco más.
No están vuestras tarjetas de crédito, ni número de DNI, ni nada.
¿Hay que entrar en pánico? Bueno, si habeis usado un email "serio" pues se puede llegar a vuestro nombre real.
Portaos bien :¿Necesario cambiar el email? Creo que da igual, porque el volcado está por ahí ya, así que de poco va a servir si lo haceis por privacidad.
¿Necesario cambiar la contraseña? Pues si teneis una de las que están en algún diccionario de hashes, lo mismo es buena idea :-)
Comentarios
#1 el que tengo aquí col.....
#5 a mí me interesa más por qué meneame no avisa de la brecha a sus usuarios como obliga la LOPD?
No están vuestras tarjetas de crédito, ni número de DNI, ni nada.
Bueno, depende, yo uso como contraseña mi número de tarjeta de crédito seguido del CVC y del pin del cajero, así no se me olvidan.
Hasta la id 300k
No está mal, todo cuentas viejas.
Yo ya me he cambiado la contraseña, por si acaso.
De todas formas, con la alta tecnología de esta web, el hackeo tampoco nos debería pillar por sorpresa. No es agradable, pero tampoco se puede hacer nada al respecto.
#6 en 2012 creo. Realmente el volcado parece ser reciente pero parcial.
No sé si el resto saldrá más adelante o es que alguien hizo a propósito una selección de los primeros registros y no es que se haya hackeado la web en sí sino que alguien la ha cagado con los permisos de ese volcado.
#10 no creo que los Hackers respeten los cementerios
#4 no voy a responder a esa pregunta
#12 El sábado pasado alguien intentó entrar en mi cuenta de Amazon. Mismo email. Justo ahora he caído.
Es para preocuparse
#36 No se informa de la brecha, ni a quienes afecta, ni a qué tipo de datos se han visto comprometidos.
Graciasccguy por aportar algo de información, aunque deberían ser los admin los que desde el minuto 1 lo hubieran explicado claro.
#4 Debes ser el novato de la serie de espias.
Preguntando a destajo
#0 Bueno, dicho esto y mirando el ficherito en cuestión.
Lo que contiene es un volcado de la tabla "accounts" (únicamente) que llega hasta el usuario 313768.
¿Has comprado el archivo a los hackers que sabes tanto? ¿Si no, cómo has visto ese archivo y sabes tanto de él?
#52 sí me dices uno lo busco
#3 Cuentas viejas pero que aquí seguimos
¿Qué volcado?
#9 Sin la fecha no pueden completar la operación.
#14, si yo me jodí cuando la RAE añadió la acepción «mala» a interfecto, joderse los friquis si la RAE recoge «encriptar»
#176 bueno, están muchos admins
#209 A mí me parece la hipótesis más probable, no creo que ningún "hacker" vaya a coger parte de la BD pudiendo cogerla toda.
#0 y por alusiones: "la responsabilidad de que no le hackeen la web a uno es obviamente de dueños y administradores". Tener acciones me convierte en "dueño", supongo. Estoy alejado del día a día e incluso cancelado de la estrategia. De hecho, no estoy ni en el consejo https://librebor.me/en/borme/empresa/meneame-comunicacions/
Eso sí, cuando a las 0:22 de lunes 3 recibí el primer aviso, enseguida avisé a Remo y Seijo; las 72 h para notificarlo (si finalmente procedía o procediese) habrían empezado a contar. No soy responsable del funcionamiento técnico de ese lugar, pero tampoco soy irresponsable. No sé si se me explico 😅
Hola #0
No lo dices explícitamente, pero diría que de este artículo se deduce que habrías comprado esos datos filtrados.
De ser así, creo que aunque tu intención sea analizarlos para tranquilizar a los demás, te podría exponer públicamente en el caso de que finalmente esos datos se usen con finalidad delictiva.
Diría que la compra, a sabiendas de datos procedentes de un hackeo también podría incurrir en un delito en sí mismo, pero esto que lo aclaren los expertos legales que suelen andar por aquí, y mis disculpas por anticipado si me equivoco.
En cualquier caso de no haberlos comprado, ¿Cómo has llegado a esas conclusiones? ¿Se ha publicado el listado completo en algún otro sitio?
Gracias
Mi cuenta es de 2008 por lo que me pilla de lleno. Me parece un problema serio de privacidad. Contraseña cambiada, puede que en unos dias borre la cuenta e incluso hasta busque la manera de borrar todos los comentarios. Para mi la escencia de esta web es la libertad que da la privacidad. Si esa privacidad se rompe, se rompe todo.
#102 y #86 A los agentes del CNI no nos permiten decir dónde trabajamos, lo siento.
#58 tengo la 127 pico mil... me siento viejo ahora mismo.
No quiero justificar a nadie, entiendo que se ha cometido algún error pero esto es el pan nuestro de cada día.
Hace unos meses robaron datos de GoDaddy que es de los mayores registradores del mundo, si con todo el dinero y medios técnicos y humanos que tienen les pasó eso, tampoco es tan raro que haya pasado aquí con muchos menos medios.
Lo mejor es hacernos a la idea de que esto va a pasar antes o después en casi todos los sitios y dar los mínimos datos posibles y no reciclar contraseñas.
#195 Realmente el borrado físico es complicado, porque se romperían hilos de comentarios y tal, por eso se hace un borrado lógico aunque como ves, no se cepilla todos los datos.
#86 En el CNI. Uy! He comentado con mi cuenta clón!
#79 pues mejor porque salen ambas, la de registro y la actual.
Ni idea de por qué se guarda la de registro. Se pueden montar un lío con la LOPD por conservar datos antiguos que el usuario ha actualizado.
Si han volcado 300000 cuentas y solo es el 17% ... En Menéame hay casi 1800000 usuarios registrados? Muchos me parecen...
#3 Yo me libro por 10k usuarios.
#36 en GDPR tienen dos obligaciones:
- Avisar de la brecha de seguridad
- Eliminar los datos de aquelllos usuarios que haga mucho tiempo que no se conectan (normalmente 3-5 años)
#163 Sí. Usuario carguies, email g*******.fa****** gmail
#163 Sí.
#163 Sí Usuario carguies, email g*******.fa****** gmail
#59 Sí
Estoy de acuerdo con lo que expone #0
A ver, podríamos preocuparnos si esto fuera, por ejemplo, un sitio de compras con movimientos de tarjetas. Y aún así.
O si fuera una página sensible con datos médicos o financieras.
Pero que me haga spam a una cuenta chungaleras (todo el mundo deberíamos tener un yahoo o hotmail para estas cosas) o incluso a la que usemos con frecuencia es el "peligro" más grande que corremos.
#33 Por aquí puedes ver algo: https://haveibeenpwned.com/Passwords
...pero si tu mismo tienes dudas de que determinada contraseña pueda estar en un diccionario ten por seguro que está...
#75 Es una lista de contraseñas comunes más el hash que les corresponde. El proceso de generar el hash a partir de la contraseña es muy sencillo, pero el proceso inverso, obtener la contraseña a partir del hash es prácticamente imposible. Las webs, para comprobar tu identidad, lo que hacen es obtener el hash a partir de la contraseña que le das y lo comparan con el hash que tienen almacenado. Si coincide, puedes entrar.
Por lo contrario, si tienes solo el hash es como si no tuvieras nada. No puedes obtener la contraseña. A menos que encuentres ese hash en una lista con la contraseña a partir de la cual se obtiene. Pero claro, esos diccionarios no pueden contener cualquier combinación de los billones posibles de contraseñas. Tan solo las más comunes.
#3 cuentas viejas y muchas borradas.
A ver si alguien lo confirma... pero... si te das de baja en mnm, ¿Tus datos siguen estando ahí?
#44 Yo me preocuparía 😅
Según sea tu contraseña, podrás imaginar si viene de personas que te conocen. Si es que sí, todavía te tienes que preocupar mucho más 😆
Sean cívicos no se insulten por email sigan usando los comentarios
#41 Aun estoy esperando el email comunicando la situacion. Pretender dar por informados a los usuarios afectados por un post en un blog me parece una muy mala gestion.
En septiembre de 2020 ya informe de un aviso de filtracion que me lanzo el antivirus y quedo en nada diciendome que no habian detectado nada. Ahora por lo visto vuelve a suceder pero nos enteramos por otra persona y escriben un post cuando ya no lo pueden ocultar al ser tan publico (por cierto diciendo que nos van a obligar a cambiar los passwords, cosa que aun estoy esperando tambien). No comunican por email a los afectados del hecho sucedido (quizas para evitar que les denuncien?)
Y para colmo un usuario de la comunidad es el que mas informacion nos ha podido dar (por cierto, gracias).
#20 jamás!
#10 Lo normal es que haya un hash, el hash no es reversible, pero puedes tener un diccionario que indique para contraseñas comunes cuál es su hash, y así hacer la operación inversa.
#83 cuando yo llegué todo esto era campo
#112 La IP se considera un dato personal a nivel de LOPD y algunos la tienen fija (si se conecta por ejemplo del trabajo) o a veces tarda semanas en cambiar. Respecto al mail algunos pueden usar uno que puede asociarse a una persona o bien por aquí que son frecuentes los roces entre usuarios pueden mandarte spam o darte de alta en ciertos sitios, lo cual es molesto. Y el hash del password entiendo que usarán un salt. que dificulte esto, pero pueden sacarse passwords en determinados casos.
Cierto que al 99% de usuarios no nos va a afectar y al fin y al cabo es un sitio gratuito, pero relativizar estos hechos no me parece correcto tampoco.
#51 Yo también me libro, y menos mal, porque utilizo la contraseña 1234 y el email del curro.
#_33 sí, parece muy buena idea metet tus contraseñas para "probar", así los hackers pueden incorporarlas directamente a su diccionario
#29 te cito que me tiene en ignore
#9 Es lo más apropiado.
#0 ¿se sabe como han conseguido la información?
a través de la nueva web, la vieja, directamente de la bbdd?
Imagina que por unos dias no entras en la web, y te pierdes lo sucecido no hay ningun aviso por parte de la web, yo no he recibido ningun email, que gran servicio todo hay que decirlo
#3 SI los passwords no estan encryptados es para hacerselo mirar seriamente
#67 ya te ha dicho que no lo va a decir. Pero hay más posibilidades, por ejemplo: que conozca a los admin y le hayan dejado mirar una copia de la tabla que generaron los hackers y haya quedado en el servidor, que haya entrado por el mismo sitio, que esté rulando la tabla en la deep web o en una plataforma P2P, que haya usado otro exploit para copiarla o que se lo haya confiado otra persona que sí haya pagado.
En alguno de esos supuestos no lo dirá por las consecuencias legales y en otros tampoco lo diría para que no venga otro y haga lo mismo.
#104 a mí no me ha dicho nada... pero ya veo que ha dicho que no va a responder a eso, no lo leí antes, gracias...
También podría haber usado una ouija para comunicarse con el más allá y haberlos conseguido así.
Id 7000 y pico, me ha pillado seguro. Pero vamos, aunque no me preocupa tampoco me hace ninguna gracia.
Que poco fiable, menudos patanes. En lugar de tanto strike y tanto censurar dedicad el esfuerzo a mejorar la web.
#193 A pues, aún borrando la cuenta. Es un poco vergonzoso.
Gracias de todos modos.
#95 Es la famosa lucha de clases
#81 ¿una mujer recomendando menéame, y en 2007? nos estás intentando engañar!
#3 Aquí un "cuenta-vieja" y sin cambiar email ni password. Viviendo al límite.
#15 eso no es notificar
#0 alguien comentó en otro meneo que aparecen el email de registro y el mail actual.
Esto es cierto?
#9 Oye, pues bien pensado, porque yo el pin lo escribo detrás de la tarjeta pero al meterla en el cajero no puedo verlo.
#103 Exacto, por lo que he leido parece queconservan el email original de registro, aunque el usuario lo haya actualizado
#2
#70 No, no he recibido ninguna comunicación.
#75 El hash es una operación matemática que a cada contraseña le asigna un hash:
micontraseña -> 2deae7fb1fb94ee8e23919b093b26982
El diccionario de hashes sería una tabla con lo contrario, a cada hash que haya en la tabla le asigna la (o mejor dicho una) cadena de caracteres de la que procede:
2deae7fb1fb94ee8e23919b093b26982 -> micontraseña
#12 Aunque solo sea el mail, pass hasheado e IP ya puede ser peligroso y dice poco de la seguridad de esta página. No hay que quitar importancia a estas cosas.
#19 la publicación de la oferta fue domingo 2-10-2022 a las 18:27, así que no fue por eso.
¿Entonces, he cambiado las password, el pin del banco, formateado el pc y quemado mi documentación de identidad, para nada?
joder, ¡¡estas cosas se dicen ANTES!!
#92 #93 ¿un campo de nabos?
#3 ID 160428, caigo de pleno, pero para lo que les va a servir... Yo ya le había comprado la cuenta a un jaque ruso
#21 eso no es notificar. Llegó a portada porque alguien la envió, pero pudo no haberlo hecho. Es como si lo quisieran tapar, porque no se les dio ni por poner un aviso en portada ni nada.
Tienen los emails de las cuentas afectadas, no costaba nada notificarlo por ahí.
#90 y "embeber" es "meter dentro de una bebida" 😝
#3 me salvo por poco, estoy en rango de ID 340.000
#64 ¿Eliminar los datos de aquelllos usuarios que haga mucho tiempo que no se conectan? De esto no he escuchado nunca hablar y me he leído la ley. ¿Tienes algún sitio para que pueda mirarmelo?
#62 Hay unos pasos definidos por ley para notificar intrusiones. Y los están siguiendo. El post en el blog es el primer paso. A la vez, hay que solucionar la intrusión y luego informar a los afectados.
Muchas grandes empresas tienen intromisiones similares y se aseguran de publicarlo con la boca pequeña. Cumplir la ley y justo. Y si pueden, se callan.
#50 Pues no, no están encriptadas... están hasheadas con sal
#58 #66
Y que aquí sigamos no tengo claro si es bueno.... O malo....
#3 ¿Esto del jaqueo no será un intento de los admin de localizar clones?
Vamos a simular un jackeo y que la gente cambie su password. Ahora sácame un listado de usuarios que han cambiado su password y desde qué IPs. Tachaaaan!!
#171 pues yo sí estoy entre los números mágicos y no lo han intentado.
Es lógico, todo el mundo me quiere
#45 No. Mis contraseñas son seguras. No las cuido demasiado, pero son seguras. Nadie las conoce y son muy raras. Y tengo extrañas combinaciones entre ellas. Pero a veces puedo llegar a compartir alguna por error.
Desde la ignorancia. ¿Qué es un diccionario de hashes?
#9 la contraseña como tal no está sino un hash, es decir el resultado de aplicar una formula matematica a tu contraseña que da un chorizo de letras... llegar a la clave real es imposible, lo que puede ocurrir es que al ser una formula otra palabra genre el mismo hash, hay diccinarios de hash que te permiten obtner palabras que generan ese hash y de ahi que contu contraseña y o otra palabra se pueda entrar
#3 id 75k y poco, me cago en tó
#163 Sí. Usuario carguies, email g*******.fa****** gmail
#14 Deduzco que, entonces, según tú, "empotrar" es "meter dentro de un potro"...
#80 ¿y dónde curras?
Lo mejor es crearse cuentas y direcciones de email con nombres falsos, que parezcan tu nombre real. Mejor si copias el de otra persona
#116 Eso quiere decir que la han pillado seguro, y además es tan antigua que lo mismo han podido empezar por la tuya casi... Igualmente, si era antigua, imagino que la contraseña y datos no estarán actualizados con los que usas ahora, así que eso que al menos.
#3 me alegro de ser un abril de 2022
#65 Yo para evitar eso, tengo dos tarjetas y en cada uno llevo apuntado el pin de la otra. Y así si me roban meterán el pin que ven apuntado y que no es, bloqueando la tarjeta. Es un win-win
Aparecen los datos de un usuario borrado? #0 saludos.
#3 Siendo del 2007, yo he pillado cacho, pero ya he cambiado la contraseña.
Afortunadamente, la anterior solo la tenia para este usuario, asi que estoy tranquilo.
#22 ¿Pero en cambio aceptas criptografía y criptoanálisis que son mucho mas anteriores a encriptar? Si es así háztelo mirar
#182 Es que tiene cojones que salgan con esa chorrada, cuando la raíz cryptós significa "oculto", y las criptas se llamaban así porque estaban ocultas.
#3 Pues hala, me ha tocado. Lo que tiene ser antiguo aquí
Menos mal que creé la cuenta con datos fuleros
#9 ¿Y no metes en la contraseña el número de teléfono por si acaso?
#33 en mi opinión son técnicas como demasiado básicas. Si tienes un pass un poco particular es prácticamente imposible que aparezca. A no ser que en su momento usases el mismo pass en alguna web cutre que siga con md5, que es vulnerable.
#33 No hay un diccionario único, pero vamos si usas cualquier nombre con significado "real" o bien solo números es muy probable que esté, Por eso siempre se recomienda mezclar letras, número y símbolos y que la contraseña sea de cierta longitud.
Mira, yo tenía puesta una cuenta de correo mu vieja y llevaba tiempo queriendo cambiarla por la que uso habitualmente. ¿Sabeis qué? Que lo mismo dejo la que tengo.
#59 Si entras en tu perfil, puedes descargar los datos que Meneame tiene de ti. Ahí aparece, por ejemplo, ese dato.
No se por qué me molesto en ocultar datos, ahora esa información está al alcance de casi cualquiera