Antes de empezar
1 - Esto va en serio
2 - No me pidais una copia
3- Espero no meterme en líos, no es mi intención tocar las narices en un mal día de una página que visito todos los días. No será ni la primera ni la última vez que pasa, y aunque la responsabilidad de que no le hackeen la web a uno es obviamente de dueños y administradores, la responsabilidad de que cuando eso pase no llegue la sangre al río es individual. ¿has usado la misma contraseña en varios sitios? ¿tu email del trabajo? Pues háztelo mirar.
Bueno, dicho esto y mirando el ficherito en cuestión.
Lo que contiene es un volcado de la tabla "accounts" (únicamente) que llega hasta el usuario 313768.
La fecha de última modificación de algún usuario es 2022-09-14, lo que es una pista de cuando se hizo esta copia.
Están los emails, la última IP, las claves en hash, el tipo de usuario (es decir, la lista completa de admins), y poco más.
No están vuestras tarjetas de crédito, ni número de DNI, ni nada.
¿Hay que entrar en pánico? Bueno, si habeis usado un email "serio" pues se puede llegar a vuestro nombre real.
Portaos bien :¿Necesario cambiar el email? Creo que da igual, porque el volcado está por ahí ya, así que de poco va a servir si lo haceis por privacidad.
¿Necesario cambiar la contraseña? Pues si teneis una de las que están en algún diccionario de hashes, lo mismo es buena idea :-)
Comentarios
¿Qué volcado?
#1 el que tengo aquí col.....
Hasta la id 300k
No está mal, todo cuentas viejas.
Yo ya me he cambiado la contraseña, por si acaso.
De todas formas, con la alta tecnología de esta web, el hackeo tampoco nos debería pillar por sorpresa. No es agradable, pero tampoco se puede hacer nada al respecto.
#0 Bueno, dicho esto y mirando el ficherito en cuestión.
Lo que contiene es un volcado de la tabla "accounts" (únicamente) que llega hasta el usuario 313768.
¿Has comprado el archivo a los hackers que sabes tanto? ¿Si no, cómo has visto ese archivo y sabes tanto de él?
#4 no voy a responder a esa pregunta
#0 ¿En qué fecha aproximada se registró ese usuario 313768?
#6 en 2012 creo. Realmente el volcado parece ser reciente pero parcial.
No sé si el resto saldrá más adelante o es que alguien hizo a propósito una selección de los primeros registros y no es que se haya hackeado la web en sí sino que alguien la ha cagado con los permisos de ese volcado.
#4 Debes ser el novato de la serie de espias.
Preguntando a destajo
No están vuestras tarjetas de crédito, ni número de DNI, ni nada.
Bueno, depende, yo uso como contraseña mi número de tarjeta de crédito seguido del CVC y del pin del cajero, así no se me olvidan.
Se supone que las contraseñas están encriptadas. O así debería ser.
#9 Sin la fecha no pueden completar la operación.
Estoy de acuerdo con lo que expone #0
A ver, podríamos preocuparnos si esto fuera, por ejemplo, un sitio de compras con movimientos de tarjetas. Y aún así.
O si fuera una página sensible con datos médicos o financieras.
Pero que me haga spam a una cuenta chungaleras (todo el mundo deberíamos tener un yahoo o hotmail para estas cosas) o incluso a la que usemos con frecuencia es el "peligro" más grande que corremos.
Si han volcado 300000 cuentas y solo es el 17% ... En Menéame hay casi 1800000 usuarios registrados? Muchos me parecen...
#10 no creo que los Hackers respeten los cementerios
Según la ley deberían notificar en 72h que ha ocurrido una brecha. Espero que al menos sigan el protocolo...
#10 están hasheadas que es parecido...
#_7 ¿Eso es un sí?
#13 A una media de diez clones por usuario "real" siguen siendo muchos. Igual son 100 clones por usuario ...
#12 El sábado pasado alguien intentó entrar en mi cuenta de Amazon. Mismo email. Justo ahora he caído.
Es para preocuparse
#14, si yo me jodí cuando la RAE añadió la acepción «mala» a interfecto, joderse los friquis si la RAE recoge «encriptar»
#15 Ayer publicaron un post en el blog aunque poco detallado. Están asesorados legalmente
#20 jamás!
#13 si sumas las cuentas creadas por mediatize para spamear y las de trolls otanistas y putinejos pocas me parecen…
#9 Es lo más apropiado.
#15 eso no es notificar
Afortunadamente hace tiempo que uso un correo único de mi dominio en cada sitio en el que me registro, si me lo pillan sólo vale para ese sitio, las contraseñas también son únicas, generadas por KeePassXC.
Mi anterior usuario alfema_fb es del 2010, pero se validaba con la cuenta de Facebook, la tuve que abandonar porque era imposible acceder a MNM a partir de implementar el nuevo diseño.
#9 ¿Y no metes en la contraseña el número de teléfono por si acaso?
#7 edit, me lié
#10 Lo normal es que haya un hash, el hash no es reversible, pero puedes tener un diccionario que indique para contraseñas comunes cuál es su hash, y así hacer la operación inversa.
#19 bueno, eso es relativo. Usar el mismo email aquí que en Amazon, pues mejor que no, pero el punto es no usar el mismo pass, como sería lógico. Al final, que conozcan tu email con un pass exclusivo para MNM evita problemas más allá. No sé si es tu caso, pero bueno.
#10 existen librerías de contraseñas "hasheadas". Si usan encriptación "normalita" sin más seguridad (md5 sería como para echarse a llorar y sha1 a pelo casi que también...) lo mismo si tienes un pass normalito te lo consiguen averiguar (tan simple como consultar en la lista).
Sí investigan mi correo tan solo obtendrán resultados sobre un personaje secundario de una serie de libros de fantasía. Así que muy bien por mí.
#29 ¿existe algún sitio donde se pueda comprobar si tu contraseña existe en algún diccionario de contraseñas? cc #31
#0 ¿se sabe como han conseguido la información?
a través de la nueva web, la vieja, directamente de la bbdd?
#33 en mi opinión son técnicas como demasiado básicas. Si tienes un pass un poco particular es prácticamente imposible que aparezca. A no ser que en su momento usases el mismo pass en alguna web cutre que siga con md5, que es vulnerable.
#5 a mí me interesa más por qué meneame no avisa de la brecha a sus usuarios como obliga la LOPD?
#13 ya lo han actualizado: "Aparentemente solo han tenido acceso a email y contraseña cifrada del 41,5% de usuarios, los primeros. Teniendo en cuenta el ratio de actividad de usuarios activos entendemos que no afecta a más del 17% aproximadamente de usuarios que sigan conservando ese email y contraseña (tenemos más de 660.000 usuarios registrados, pero hay muchos bots y mails inactivos)"
#12 Aunque solo sea el mail, pass hasheado e IP ya puede ser peligroso y dice poco de la seguridad de esta página. No hay que quitar importancia a estas cosas.
No quiero justificar a nadie, entiendo que se ha cometido algún error pero esto es el pan nuestro de cada día.
Hace unos meses robaron datos de GoDaddy que es de los mayores registradores del mundo, si con todo el dinero y medios técnicos y humanos que tienen les pasó eso, tampoco es tan raro que haya pasado aquí con muchos menos medios.
Lo mejor es hacernos a la idea de que esto va a pasar antes o después en casi todos los sitios y dar los mínimos datos posibles y no reciclar contraseñas.
#33 No hay un diccionario único, pero vamos si usas cualquier nombre con significado "real" o bien solo números es muy probable que esté, Por eso siempre se recomienda mezclar letras, número y símbolos y que la contraseña sea de cierta longitud.
#3 cuentas viejas y muchas borradas.
A ver si alguien lo confirma... pero... si te das de baja en mnm, ¿Tus datos siguen estando ahí?
#9 Pero ¿cómo va a estar eso si esos datos no los tiene Menéame?
#19 la publicación de la oferta fue domingo 2-10-2022 a las 18:27, así que no fue por eso.
#43 Gracias. Pues me dejas entre más tranquilo y más preocupado. El tipo que me intentó entrar en Amazon tenía el password pero, por suerte, no pasó la segunda verificación. Cambié rápido de password y problema resuelto. Pero me dejó mosqueado el tema.
#44 Yo me preocuparía 😅
Según sea tu contraseña, podrás imaginar si viene de personas que te conocen. Si es que sí, todavía te tienes que preocupar mucho más 😆
Imagina que por unos dias no entras en la web, y te pierdes lo sucecido no hay ningun aviso por parte de la web, yo no he recibido ningun email, que gran servicio todo hay que decirlo
#45 No. Mis contraseñas son seguras. No las cuido demasiado, pero son seguras. Nadie las conoce y son muy raras. Y tengo extrañas combinaciones entre ellas. Pero a veces puedo llegar a compartir alguna por error.
#0 y por alusiones: "la responsabilidad de que no le hackeen la web a uno es obviamente de dueños y administradores". Tener acciones me convierte en "dueño", supongo. Estoy alejado del día a día e incluso cancelado de la estrategia. De hecho, no estoy ni en el consejo https://librebor.me/en/borme/empresa/meneame-comunicacions/
Eso sí, cuando a las 0:22 de lunes 3 recibí el primer aviso, enseguida avisé a Remo y Seijo; las 72 h para notificarlo (si finalmente procedía o procediese) habrían empezado a contar. No soy responsable del funcionamiento técnico de ese lugar, pero tampoco soy irresponsable. No sé si se me explico 😅
Por lo que dice #0 las password no están salteadas.
Y para meneame, implementar ya una manera de eliminar la cuenta con toda la actividad asociada, lo de deshabilitar cuenta parece a todas luces insuficiente, que hay mucho enfermito que se va a dedicar a buscar correos de gente que conozca a ver lo que ponen en Meneame, o incluso intentar cruzar los emails con cuentas de otras redes sociales.
No lo digo por mi, que a mi me la pela la verdad, no me meto en grandes discursiones ideológicas, pero seguramente a más de uno le tocará sufrir esto y se podrían minimizar daños de forma más o menos sencilla.
#3 SI los passwords no estan encryptados es para hacerselo mirar seriamente
#3 Yo me libro por 10k usuarios.
Aparecen los datos de un usuario borrado? #0 saludos.
Sean cívicos no se insulten por email sigan usando los comentarios
Me libro de largo, pero ya he cambiado la contraseña. Y del email es el que uso para Spam y registros no importantes.
#2
#0 Gracias por la información
#14 Deduzco que, entonces, según tú, "empotrar" es "meter dentro de un potro"...
#3 Cuentas viejas pero que aquí seguimos
#0 alguien comentó en otro meneo que aparecen el email de registro y el mail actual.
Esto es cierto?
Mi cuenta es de 2008 por lo que me pilla de lleno. Me parece un problema serio de privacidad. Contraseña cambiada, puede que en unos dias borre la cuenta e incluso hasta busque la manera de borrar todos los comentarios. Para mi la escencia de esta web es la libertad que da la privacidad. Si esa privacidad se rompe, se rompe todo.
#33 Por aquí puedes ver algo: https://haveibeenpwned.com/Passwords
...pero si tu mismo tienes dudas de que determinada contraseña pueda estar en un diccionario ten por seguro que está...
#21 eso no es notificar. Llegó a portada porque alguien la envió, pero pudo no haberlo hecho. Es como si lo quisieran tapar, porque no se les dio ni por poner un aviso en portada ni nada.
Tienen los emails de las cuentas afectadas, no costaba nada notificarlo por ahí.
#29 Eso se soluciona si usan salt, no se si es el caso.
#36 en GDPR tienen dos obligaciones:
- Avisar de la brecha de seguridad
- Eliminar los datos de aquelllos usuarios que haga mucho tiempo que no se conectan (normalmente 3-5 años)
#9 Oye, pues bien pensado, porque yo el pin lo escribo detrás de la tarjeta pero al meterla en el cajero no puedo verlo.
#58 tengo la 127 pico mil... me siento viejo ahora mismo.
Hola #0
No lo dices explícitamente, pero diría que de este artículo se deduce que habrías comprado esos datos filtrados.
De ser así, creo que aunque tu intención sea analizarlos para tranquilizar a los demás, te podría exponer públicamente en el caso de que finalmente esos datos se usen con finalidad delictiva.
Diría que la compra, a sabiendas de datos procedentes de un hackeo también podría incurrir en un delito en sí mismo, pero esto que lo aclaren los expertos legales que suelen andar por aquí, y mis disculpas por anticipado si me equivoco.
En cualquier caso de no haberlos comprado, ¿Cómo has llegado a esas conclusiones? ¿Se ha publicado el listado completo en algún otro sitio?
Gracias
#62 Hay unos pasos definidos por ley para notificar intrusiones. Y los están siguiendo. El post en el blog es el primer paso. A la vez, hay que solucionar la intrusión y luego informar a los afectados.
Muchas grandes empresas tienen intromisiones similares y se aseguran de publicarlo con la boca pequeña. Cumplir la ley y justo. Y si pueden, se callan.
#50 Pues no, no están encriptadas... están hasheadas con sal
#60 una duda, ¿has recibido alguna comunicación por parte de Meneame de que tu cuenta está dentro de las afectadas? porque si no, están incurriendo en una ilegalidad
¿Entonces, he cambiado las password, el pin del banco, formateado el pc y quemado mi documentación de identidad, para nada?
joder, ¡¡estas cosas se dicen ANTES!!
#58 #66
Y que aquí sigamos no tengo claro si es bueno.... O malo....
...hasta el usuario 313768.
324774! Me he librado por los pelos!
Aun así voy a cambiar mi password para que no coincida con la combinación de mi maleta...
En caso de autenticarte mediante Proveedor Externo que posibilidades hay de que te pillen la pwd?
Desde la ignorancia. ¿Qué es un diccionario de hashes?
#69
#70 No, no he recibido ninguna comunicación.
Mas allá de los articulos... ¿hay comunicado oficial por parte de meneame de que han tenido fallo de seguridad? Es obligatorio
Mira, yo tenía puesta una cuenta de correo mu vieja y llevaba tiempo queriendo cambiarla por la que uso habitualmente. ¿Sabeis qué? Que lo mismo dejo la que tengo.
#51 Yo también me libro, y menos mal, porque utilizo la contraseña 1234 y el email del curro.
#66 Si te sirve de consuelo tengo 347mil por cambié de cuenta, si no sería anterior a la tuya... recuerdo que llegué a Menéame porque me la recomendó una profesora en el instituto allá por 2007.
#75 Es una lista de contraseñas comunes más el hash que les corresponde. El proceso de generar el hash a partir de la contraseña es muy sencillo, pero el proceso inverso, obtener la contraseña a partir del hash es prácticamente imposible. Las webs, para comprobar tu identidad, lo que hacen es obtener el hash a partir de la contraseña que le das y lo comparan con el hash que tienen almacenado. Si coincide, puedes entrar.
Por lo contrario, si tienes solo el hash es como si no tuvieras nada. No puedes obtener la contraseña. A menos que encuentres ese hash en una lista con la contraseña a partir de la cual se obtiene. Pero claro, esos diccionarios no pueden contener cualquier combinación de los billones posibles de contraseñas. Tan solo las más comunes.
#58 #66 noobs...
#29 No solo eso, además está la posibilidad de generar una colisión de hashes si el algoritmo es lo suficientemente antiguo (MD5 por ejemplo). Eso quiere decir que se puede generar una cadena que, hasheada, coincida con el hash de otra no conocida, saltándose las comprobaciones por comparación espero que los hashes estén salteados. Si no, puede haber un problema.
que tipo de hash es? algunos se pueden buscar en diccionarios de hashes y otros no.
#80 ¿y dónde curras?
Id 7000 y pico, me ha pillado seguro. Pero vamos, aunque no me preocupa tampoco me hace ninguna gracia.
Que poco fiable, menudos patanes. En lugar de tanto strike y tanto censurar dedicad el esfuerzo a mejorar la web.
#75 El hash es una operación matemática que a cada contraseña le asigna un hash:
micontraseña -> 2deae7fb1fb94ee8e23919b093b26982
El diccionario de hashes sería una tabla con lo contrario, a cada hash que haya en la tabla le asigna la (o mejor dicho una) cadena de caracteres de la que procede:
2deae7fb1fb94ee8e23919b093b26982 -> micontraseña
#9 la contraseña como tal no está sino un hash, es decir el resultado de aplicar una formula matematica a tu contraseña que da un chorizo de letras... llegar a la clave real es imposible, lo que puede ocurrir es que al ser una formula otra palabra genre el mismo hash, hay diccinarios de hash que te permiten obtner palabras que generan ese hash y de ahi que contu contraseña y o otra palabra se pueda entrar
#57 De tortura, ademas.
#66 En los 109k ando yo
#66 yo no llego ni a la mitad de eso. Cuando creé la mía todo esto era campo.
#83 cuando yo llegué todo esto era campo
#66 120K por aquí
#87 Aqui id #59131, comparto tu comentario palabra por palabra.
#_33 sí, parece muy buena idea metet tus contraseñas para "probar", así los hackers pueden incorporarlas directamente a su diccionario
#29 te cito que me tiene en ignore
#7 Siendo todos los campos VARCHAR, no me extrañaría que explotara el servidor al hacer el dump y se quedara por ahí....
Aproveche y actualicé movidas de mi perfil, gracias!
#59 Por lo que he visto en la captura, es correcto.
#34 seguro que es una nueva funcionalidad de la versión "no rancia"