Hace 3 meses | Por carademalo
Publicado hace 3 meses por carademalo

Comentarios

phillipe

#5 ¡¡Indemnización!! Un para todos los registrados antes de 2012

p

#80 Indemnización no, pero se exponen a una multa.

FranciscaManuela
editado

#80 no necesito ninguna indemnización. Pero exijo responsabilidades. El daño por vender nuestros datos personales no es ninguna tontería. Soy usuario y necesito saber si estoy afectado sin tener que comprar esa base de datos en el mercado negro. Todavía estoy esperando esa comunicación pese a que no han cumplido el plazo previsto por la ley

phillipe

#92 100% de acuerdo

LeDYoM

#1 Menuda ñapa.
No habría sido mejor correr un script con el update que meterlo ahí en el código?

rebrok

#10 Y como corres el script sin conocer la clave? Cuando la tienes hasheada no la conoces, tienes que esperar a que el usuario se loguee, validar el hash y entonces con ese valor valido hashearlo con SHA1

LeDYoM

#17 Ostias. Dame collejas por favor.
siete años sin tocar SQL.

skgsergio

#17 #10
Fácil, usas un formato que indique que tipo de hash es (cosa que hacen si miras la captura del leak) pillas el MD5 actual, y actualizas todos los usuarios tal que SHA256(MD5 de la DB). Luego en codigo lo que haces es que si el usuario al hacer login tiene en DB ese tipo personalizado compruebas la pass que te manda como SHA256(MD5(pw que el user manda)), y ya si es correcta tiras el update por SHA256(pw).
 
PD: A estas alturas un SHA256 o cualquier SHA de la familia 2 a pelo no es buena opción, ni con salt, mejor usar KDFs (por ejemplo PBKDF2).

EmuAGR
editado

#32 Qué bien te aprendiste la idea que tuve para proteger los MD5 de las cuentas antiguas.
PD: Tengo que investigar eso de KDF.

skgsergio

#55 Estrategias similares se han hecho con relativa frecuencia en proyectos que conozco, por eso te comenté que era algo factible lo que comentabas.

UnDousTres
editado

#1 Y que ocurre si hay una fuga en un gestor de contraseñas? A mi siempre me ha parecido de lo mas inseguro.

F

#22 Pues que estás jodido.

Pero también lo estás si te rompen la contraseña de menéame y la reutilizas en otros sitios o recurres a reglas memotecnicas.

Que te revienten un gestor de contraseñas es muy poco probable pero tiene un gran impacto. Pero qué te revienten la contraseña en uno de los cien mil sitios en los que estás registrado es altamente probable y (sí cometes los errores arriba indicados) también tiene un gran impacto.

UnDousTres

#31 No se, yo soy de la opinion de usar contraseñas diferentes para cosas importantes y regla mnemotecnicas para cosas no importantes, en cualquier caso, me cuesta fiarme de una unica compañia para guardar todas mis contraseñas.

erperisv

#22 Gestor de contraseñas local, no online.

Richacinas

#33 Podrías recomendar alguno en concreto? o poner un link con un tutorial para montarse un gestor de contraseñas. Si algún día me conecto desde un equipo remoto, significa esto que no tendré acceso a mis contraseñas?

a

#42 Hay varias soluciones para varias necesidades.

- La más sencilla si es para ti solo y no quieres pagar es usar KeePassXC [1]. Las contraseñas se guardan a un archivo local (encriptado con una contraseña maestra que solo conoces tú). Puedes sincronizar ese archivo a otros ordenadores con calquier programa tipo dropbox y por tanto abrirlo desde cualquier otro ordenador.

- Si no te importa pagar (10$/año), yo recomendaría BitWarden [2]. Los clientes (tienen para prácticamente todos los operativos y navegadores) son open source y el servidor nunca ve las contraseñas sin encriptar. Tiene la ventaja de poder compartir contraseñas con otros usuarios.

- Finalmente, si sabes suficiente y te apetece liarte, puedes utilizar los clientes BitWarden con una instalación self-hosted de servidor llamado VaultWarden [3]. A parte de las ventajas normales de Bitwarden, con esto tienes usuarios ilimitados sin pagar (es decir, le puedes configurar el gestor de contraseñas a tu madre también con coste 0).

[1] https://keepassxc.org/
[2] https://bitwarden.com/pricing/
[3] https://github.com/dani-garcia/vaultwarden

Richacinas
editado

#51 Hombre. Por (10$/año) tiene pinta de merecer más la pena la opción de BitWarden, sobre todo si no tengo que andar con el fichero de un lado al otro.

También vi LastPass, pero supongo que es una solución menos segura.

Quería preguntar... Qué diferencia hay entre esto y tener simplemente tus contraseñas guardadas en Google Chrome (en tu usuario logado)?

Muchas gracias por la info

a

#56 LasPass tuvo una historia un poco oscura recientemente (robaron contraseñas de gente y LastPass negaba todo y tal). Sus clientes no son open source que yo sepa y no pasan las mismas auditorías que Bitwarden o no las hacen públicas.

> Qué diferencia hay entre esto y tener simplemente tus contraseñas guardadas en Google Chrome (en tu usuario logado)?

La mayor desventaja es que si mañana a google le da por cerrarte la cuenta o dejarte sin acceso por el motivo que sea (no pasa mucho, pero pasa) date por jodido. No tienes ningún recurso con ellos a nivel de usuario aunque no hayas hecho nada malo. Como otro punto importante, desconozco si google puede leer tus contraseñas (sospecho que sí pero no puedo asegurarlo).

También está el tema que Bitwarden te permite compartir algunas contraseñas con otros usuarios y tiene otras cosillas como que puedes guardar notas seguras (creo que el gestor de google no lo permite) o mandar archivos protegidos con contraseña que incluso puedes limitar el número de veces que se pueden descargar y así.

Finalmente, Bitwarden (como la mayoría de otros gestores tipo LastPass) tienen plugins para otros navegadores y también aplicaciones nativas (puedes tener el gestor de contraseñas como aplicación independiente).

Todas estas cosas pueden ser interesantes para tí o no. En cualquier caso, si estás leyendo esto y te planteas entre guardar las contraseñas en el gestor de google o usar la misma en todas las webs donde se registra... usa google por favor

Richacinas

#62 Sin embargo, confías en los servidores que hay detrás de las opciones que propone #51?

EmuAGR

#66 Mi opción preferida sería la 1 o la 3, por supuesto.

La opción 2 supone que los servicios de alojamiento de bases de datos cifradas ponen como una de sus máximas prioridades el mantener su prestigio. ¿Te has fijado que no ha recomendo LastPass? Hace años tuvieron un problema que hizo perder la confianza de muchos usuarios, si no recuerdo mal.

Berlinguer
editado

#51 Y la opción gratuita de Bitwarden en que se diferencia?
O recomiendas pagar porque no te fias de que gratis no hagan nada con las pass?

a

#78 La opción gratuita de Bitwarden no la he recomendado porque no me fío a largo plazo de los servicios gratiuitos.

Eso no significa que crea que Bitwarden vaya a robarte las contraseñas (deberían cambiar muy mucho porque ahora mismo simplemente no pueden verlas). Significa que sí me creería que en un tiempo digan que o pagas o fuera, que ya no pueden soportar el servicio gratuito y entonces vuelves al quebradero de cabeza de elegir.

Es por eso que hago el planteo ya de antemano: si no quieres pagar mejor acostúmbrate a keepass o haz self-hosting (estas opciones seguro que no desaparecen) y si no te importa pagar los 10$ pues págalos ya y así ayudas a que el servicio siga vivo mucho tiempo. Obviamente que cada uno haga lo que quiera, pero este es el razonamiento de mis recomendaciones

erperisv

#42 Yo utilizo el KeePass, tutoriales habrá los que quieras por internet.
Si tienes un gestor en local puedes acceder desde ese equipo, hay gestores online, pero el riesgo de que se vea comprometido es mayor.

UnDousTres

#33 Pero eso me impide acceder desde mi pc, mi tablet, mi movil, mi ordenador del trabajo... No se, no parece muy comodo. Al final voy a tener que llevar una agenda en el bolsillo con las pass como hace mi padre

erperisv

#58 Qué quieres, seguridad o comodidad? Puedes instalar el gestor en el móvil que lo normal es que lo lleves siempre.

UnDousTres

#73 Quiero una buena combinacion de ambas y no depender de terceros

erperisv

#76 Y que me toque la lotería.

f

#1 PHP, no me extraña que hayan hackeado meneame...

EmuAGR

#45 Ya ha venido el primer agorero en echarle la culpa a PHP. Todo es susceptible de ser hackeado, la mayoría de aplicaciones web dinámicas del mundo funcionan en PHP así que la superficie de ataque es muy grande.

f

#57 Era coña eh. Yo no me meto con esos masoquistas que les gusta el dolor, también son personas.

Richacinas

#1 Y porque no utilizar el propio gestor de contraseñas de Chrome?

EmuAGR

#47 No he mencionado ninguno en concreto. Pero ya que lo mencionas: A Google, que ya conoce todo sobre ti, sólo le faltaba saber tus contraseñas para que puedan poner toda tu información a disposición de cierto gobierno.

Don_Gato

#1 Pregunta inocente por desconocimiento. El hackeo de las contraseñas implica saltarse el límite de intentos para obtener acceso ¿no? porque la fuerza bruta tiene que estar chocando contra algo que le diga "esta sí" "esta no". Significa eso que el hacker se baja una versión offline de la web en la que prueban a loguearse con fuerza bruta ¿no? De lo contrario hacerlo sobre la web online provocaría una especie de DDos.

EmuAGR

#68 Cuando obtienes acceso a la base de datos, el ataque de las contraseñas se puede hacer offline: pruebas las contraseñas contra los hashes que has obtenido, no tienes que usar la web para nada. Un ataque online sería rellenar el formulario de login con datos de prueba, pero dejas muchas pistas.

Find

#9 Invent

linspire

#9 Si eres jocanor ya sabes que distes mucho la lata, pero de los errores se aprende.

Yo te seguiré odiando por atacarme con DDOS.

elquehabla

#54

Si eres jocanor ya sabes que distes mucho la lata, pero de los errores se aprende.

Yo considero que aprendí y conocí gente. Si hice algo que pudo molestarte, lo siento.

Yo te seguiré odiando por atacarme con DDOS.

Yo no te odio. Si un día nos vemos nos podemos tomar una cerveza juntos, y si quieres invito yo.

linspire

#98 Que va fueron tiempos e historias que contar con los amiguetes.

Además de todo se aprende y se mejora.

benjami
editado

#9 hola

elquehabla

#90 Es siempre un placer encontrarme contigo, un abrazo

benjami

#99 la última vez fue muy interesante y me dice que cada día sabes más de todo, y eso es mucho para una mente como la tuya

u

¿Está la web en peligro? ¿Podrían tumbarla o modificarla de forma que sea inusable?

No, de hecho los hackers, en un ataque de lástima, podrían hasta arreglar el diseño nuevo.

i

jajaja, me he reído un rato, pero falta lo más importante, se ha avisado a los usuarios hackeados?

Leni14

#3 Sería un detalle, si.

c

#3 hoy he tenido que cambiar la contraseña en la otra cuenta. La cual he procedido a abandonar, por cierto. Esta es más nueva, así que ¡hasta el siguiente hackeo!

e

#11 Es un dato personal, eso no significa que tenga que estar encriptado, no tendría sentido. Es como nombre y apellidos, si lo encriptas para que lo guardas?

Wolfgang

#20 Pensé que si estaba encriptado sólo podría leerse si tienes la clave de desincriptación.

e

#34 No tiene sentido encriptar nada si tiene clave de desencriptado. Imagina que acceden a meneame y se llevan la base de datos, evidentemente se llevarían también la clave de desencriptado.

Wolfgang

#89 ¿entonces para qué encriptar las claves? ¿no es el mismo caso?

e

#95 Las claves se encriptan sin posibilidad de desencriptado, esa es la gracia

Wolfgang

#97 ahhh, claro! gracias!

Find

#37 Mi vecino se murió, no se que ha podido pasar, siempre había estado vivo

n

#48 #44 sigo en el curro. Sigue funcionando. Fué una única vez.

Find

#82 Milagro!! Ha resucitado!!

blodhemn

#0 Yo tenía entendido que FAQ significaba Frequently Asked Questions.

c

#6 y muchas veces las "preguntas frecuentes" son autogeneradas por el que las responde, no por gente que realmente las pregunta

StuartMcNight
editado

Espero que a quien se esta lucrando vendiendo cuentas antiguas para el astroturfing le den tiron de orejas por no guardar la base de datos de usuarios viejos mejor protegida.

urannio

#13 tenía por casualidad otro ordenador con la sesión activa y cuando he ido a meneame me ha pedido cambiar la contraseña y ha funcionado afortunadamente. ¡Gracias!

j

#26 Desde mi punto de vista, no se justifica. ¿Por qué? Porque hay medios técnicos muy simples para resolverlo sin necesidad de almacenar/tratar ese dato personal. Por ejemplo, se puede almacenar el correo electrónico hasheado/anonimizado, de forma que nadie tiene acceso al dato personal y se siguen pudiendo detectar multicuentas, clones, etc. La GDPR insiste mucho en minimizar los datos que se tratan. Yo creo que es un abuso.

Coronavirus

¿SHA256? ¿En serio?

e

#24 ¿qué problema hay?

Coronavirus
editado

#77 Las contraseñas no se hashean a pelo con algoritmos genéricos (cuyo objetivo es verificar integridad y nada más), y menos sin sal. De locos. PBKDF2, scrypt o bcrypt son mejores soluciones y alguna existe desde antes que menéame.

e

#84 ¿Por qué no se hashean a pelo?¿De locos? ¿Por qué son mejores soluciones?

Lo digo por entender.

Gracias por las respuestas.

Coronavirus
editado

#85 Porque SHA256 está hecho, entre otras cosas, para ser rápido. Si se filtran las contraseñas, eso es lo que quiere el atacante, que se puedan crackear rápido.

Los algoritmos que menciono están hechos a propósito para ser lentos e dificultar ataques de fuerza bruta, tablas arcoiris y demás.

Tu ordenador sospecho puede hacer decenas de millones de operaciones SHA256 por segundo, los que menciono son adaptables, pero en general se intenta que no pasen de unos pocos centenares de operaciones por segundo.

Así que si tu contraseña con SHA256 se puede crackear en un día, pues con bcrypt (por ejemplo) llevaría 100000 días, así, simplificando mucho.

Mltfrtk

Pues a mí no me han jakeado nada.
Antes votaba a Podemos, pero ahora voto a VOX.

FranciscaManuela
editado

Iros un poco a la mierda.

Ya bastante tenía con que mangonearais mi opinión manipulando constantemente el karma a conveniencia de los opacos intereses de unos admins que nadie conoce y ahora me entero de que mis datos se están vendiendo en la deep web porque la seguridad de esta web es un puto asco.

Ya cierro yo la puerta al salir no os preocupéis

Extremófilo
editado

Zafarrancho de combate!!!!
Arríen los contenedores, carguen el cortafuegos y amarren bien los logs!!
Esos alfeñiques no conseguirán hundirnos!!!
-Aaaaargh! (el capitán escupe una mezcla de tabaco de mascar, ron y saliva)

u

"diana de strikes"

Pilfer

#40 eso venía a poner yo, me ha hecho gracia

daniel_martin

¡Fucking idiot tú! Te ha quedado muy bonito llamar idiota a algunos usuarios.

C

Se sabe si las fotoojetes también se han filtrado? Es para un amigo....

g3_g3

#49 No, solo fotopollas de mujeres con pene.

Pero estaría bien ver la fotojete de Menéame, que lo han dejado como un bebedero de patos, mientras el admin creia que no pasaba nada de lo que preocuparse.

borre

Cambio de contraseña y a fregar.

Un saludo.

rebrok

Ayer, dias después del "hackeo", meneame me pidió que cambiara mi clave, ID 14K (si old school), pero me dejó poner la misma

EmuAGR

#60 Estresar un sistema es una forma de provocar errores. Las consolas se piratean así: Se meten glitches en la CPU hasta que haces saltar un error antes de que se bloqueen las zonas seguras.

publicString

#67 ok, pero algun ejemplo de stack mas o menos actual para servir web que falle de esa manera?? es que me sorprende mucho.

M

Por el precio del dump y el hecho de que la página esté hecha en php, yo diría que es un ataque automático explotando una vuln conocida. es decir, un script automático que tiran contra miles de sitios a ver si en alguno tienen suerte

No parece que sea un ataque específico contra menéame

Wolfgang

#0 Otra más para el FAQ: ¿Es legal guardar direcciones IP en la base de datos "a pelo"?

EmuAGR
editado

#2 Sí, por qué no, todos los CMS lo hacen. Y los operadores. Tu IP está por todas partes logueada.

Wolfgang

#8 Ah, vale. Pensaba que se consideraba dato personal y que tenía que estar protegida por la Ley de Protección de Datos. Gracias, Emu!

j

#11 Es un dato personal. Y está protegida por la GDPR. Quien quiera tratarla (y este tratamiento incluye logarla, guardarla en una BD) necesita una base legitimadora para hacerlo. Esta base legítimadora en ocasiones no necesita consentimiento del usuario; por ejemplo cuando hay obligación legal (donde entra el caso de las llamadas telefónicas que guarda una operadora, o las facturas) o cuando hay un interés legítimo (un coladero de la ley). En el caso de meneame, está cogido con pinzas, para mi gusto (no soy juez) es sancionable.

UnDousTres

#14 Hay un interese legitimo no? te permite detectar multicuentas, clones, etc.

Tumbadito

#2 Lo de "a pelo" se puede debatir, hay estándares regulados para hacerlo.

Lo de legal no se puede debatir, es obligatorio.

Poignard

#37 pues ya no se habrán enterado del hackeo y lo habrán metido en la lista de paginas no seguras

RoneoaJulieta

¿Podrías corregir ese "extrayese"? Se me ha cristalizado el colirio al leerlo y tengo los globos oculares en carne viva.
Muchas gracias

Kateter

Oooh, mirar cómo lloro... JUSTICIA, llamo yo eso.

n

qué cojones significa "EL SERVIDOR TIENE APLICADO UN BAN" ?`??? me acaba de salir

Poignard

#28 ¿estás entrando desde el trabajo?

n

#36 si, pero ha funcioinado siemrpe

l33

#60 Normalmente a un ataque DoS se lo conoce por tirar abajo los servicios pero esta acción tambien habilita al atacante a crear una cortina de humo para inflitrarse o forzar el reinicio de los sistemas y aprovechar ese instante para socavar información y/o conocer los recursos compartidos a los que están conectados (bases de datos).

Lo único que está claro es que los admin deberían de hacer una audit para esclarecer sus fallos de seguridad y publicar un report explicando qué ha pasado, cómo pudo ocurrir y los pasos a mejorar el stack.

publicString

#91 A mi es que como posible explicación me parece un poco pillada por los pelos. Si metemos 'ataque DoS' pues antes metemos que le han robado el portatil a un dev, que han dejado una copia del repo por ahí, o que un backup de pruebas lo han dejado accesible.
Los ataques de DoS son muy accesibles y fáciles y baratos, me extraña que eso fácilmente sea suficiente para abrir una puerta trasera en un sitio como menéame.
Pero hablo desde el desconocimiento y por eso pregunto, me gustaría conocer ejemplos en los que haya pasado con servicios web, con algun post-mortem más o menos técnico.

l33

#93 Those are two of the key takeaways from a recent Neustar and Harris Interactive report based on a global, independent survey of 1,010 directors, managers, CISOs, CSOs, CTOs, and other C-suite executives. 76% reported that they had experienced multiple DDoS attacks. Even those companies that were attacked only once, a whopping 92% of them reported theft of intellectual property, customer data and/or financial assets and resources.

Igual este artículo te lo explica mejor -> https://www.corero.com/blog/theft-and-ddos-attacks-go-hand-in-hand/

Al inundar con peticiones los servidores, los primeros en sufrir los ataques son los firewalls y load balancers. Una vez los firewalls fallan, se puede atacar puertos específicos que estaban protegidos.

publicString

#96 In most cases hackers are looking to steal something, so they use a small DDoS attack as a smokescreen to mask their more nefarious subterfuge
Ok entonces el ataque de DoS es para despistar, pero no quiere decir que con un ataque así te roben la información, lo harán por otros medios. Si tiras abajo un firewall o un load balancer por un ataque no es que queden los puertos abiertos, es que se queda inaccesible la web. Que me dices 'pues el admin quita el firewall de la ecuacion para reestablecer el servicio y por eso luego roban datos', bueno pues es que ese admin es temerario.
No quiero buscarle 3 pies al gato, es que simplemente soy desarrollador web y me gusta estar informado. Gente como yo somos los que por falta de conocimiento dejamos puertas abiertas .
En todo caso yo no desarrollaría o usaria un firewall que dejara pasar trafico de forma selectiva a no ser que haya mucho trafico y entonces haga lo que viene siendo un fail-open,es absurdo.

#13 lo acabo de hacer (recuperando la contraseña) y me sigue identificando como este otro usuario. 

hydratante

meneame lleva hackeado por la ultraizquierda desde el principio, de hecho es su cámara de eco

@admin ¿dónde está mi cuentauranniourannio? entro con mi cuenta de twitter y ahora tengo esta otra.

a

#12 Identifícate con usuario y contraseña, en lugar de con Twitter.

publicString

No sé por qué dices que puede haber sido haciendo scrapping, si tienen los hashes de las contraseñas está claro que accedieron a la base de datos directamente. Y lo de 'paga el server' tampoco lo entiendo...

l33

#25 un ataque bastante común es hacer un denial of service DoS y cuando los servicios empiezan a fallar se abren puertas traseras.

Si han entrado hasta la cocina (base de datos) no sería muy raro que no tengan la palabra clave para generar el hash. Seguramente lo tengan hardcoded en el código.

publicString

#27 Algun ejemplo de como un ataque de DoS puede acabar provocando que se pueda acceder a base de datos? es que no se me ocurre ahora mismo.
Me imagino un stack de AMP antiguo que si por lo que sea los procesos de PHP no den a basto, al apache le de por renderizar el código PHP en claro, y que la contraseña de la bbdd esté en uno de esos archivos y que la base de datos tenga el puerto públicamente accesible, pero son muchos 'sies' de estár haciendo las cosas mal y realmente no me consta que apache escupa php en claro si no es realmente por que esté mal configurado.

p

Madre mía, que desastre.
Tambien te digo que hay que ser muy tonto para dar tus datos reales a Meneame

carademalo
autor

#29 Realmente al principio no era tan tonto, pues era una comunidad pequeña llena de bloggers y profesionales del ramo de las telecomunicaciones y la informática que iban de cara, sin necesidad de anonimato (Menéame estaba más próximo a parecerse a Linkedin que a Forocoches).

Luego la temática y los contenidos cambiaron con el tiempo, y se hizo más necesario el anonimato para poder comentar y participar.

#75 Me da igual, es mi apellido de soltera.

Berlinguer

#0 Como???

, el nombre real (de haber sido tan idiota de añadirlo al perfil)


Insinúas que no te llamas Carademalo Martinez?

Que decepción....

1 2