Portada
mis comunidades
otras secciones
Hace 1 año | Por patchgirl
Publicado hace 1 año por patchgirl
Después del ataque y el robo de datos que hemos sufrido los últimos días, vamos a ir respondiendo a las preguntas que tengáis (de manera ordenada y explicando solo las cosas que sepamos y/o lo que no esté bajo investigación).
#4:
¿Habeis comunicado a todos los usuarios afectados a través de su email?
¿Los usuarios afectados son los que su ID está dentro de los 250k primeros?
¿Cómo vais a compensar a los afectados? ¿Con una cuenta de Meneame Premium?
¿Podeis explicar técnicamente como ha sido el ataque?
¿Qué datos exactamente han sido robados?
¿Es cierto que los rancios nos hemos librado del robo?
¿Los usuarios afectados son los que su ID está dentro de los 250k primeros?
¿Cómo vais a compensar a los afectados? ¿Con una cuenta de Meneame Premium?
¿Podeis explicar técnicamente como ha sido el ataque?
¿Qué datos exactamente han sido robados?
¿Es cierto que los rancios nos hemos librado del robo?
#21:
#0 Viendo que hay usuarios a los que no les importa rascarse el bolsillo para conocer los emails y claves de los demás, y a nadie parece importarle, aunque lo reconozcan en portada:
¿Qué hay en el famoso volcado de datos de meneame?
¿Os habéis planteado vendérselos directamente y os ahorráis intermediarios?
¿Qué hay en el famoso volcado de datos de meneame?
¿Os habéis planteado vendérselos directamente y os ahorráis intermediarios?
#37:
¿Por qué ya no es público el código fuente? ¿Qué tiene tan especial que no puedan ver y revisar los mortales?
#2:
Es necesario tener en abierto nuestras IPs e emails en la BD?
Cuantas veces a la semana usas ese gif en tus chats de trabajo?
Cuantas horas extras sin pagar te has comido por este marron?
Cuantas veces a la semana usas ese gif en tus chats de trabajo?
Cuantas horas extras sin pagar te has comido por este marron?
#22:
Hola #0. En la nota del blog, comentásteis que las contraseñas almacenadas están hasheadas con MD5 y SHA256 pero no indicáis si usais "salt" o si el nº de iteraciones de cifrado es superior a 1. ¿Podríais dar más datos acerca de esto? ¿Usais simplemente MD5(pass), SHA256(pass), MD5(SHA256(pass)) o algo más robusto del tipo PBKDF2? Es por descartar que los hashes funcionen directamente en crackstation o sitios similares con rainbow tables "corrientes"
#53:
Como me parece que nadie lo dice (no lo he visto) lo digo yo.
¿Por qué tenemos que esperar al viernes y tratarnos un video? ¿No podéis responder y punto?
A mi personalmente me parece una chorrada. Gallir guardaba las contraseñas en texto plano. Y la información que se puede sacar de aquí es poca. Probablemente palmen los clones y nos los usuarios de verdad.
Pero ya que os ponéis ¿por qué tenemos que aguantar una espera y un formato insufrible?
¿Por qué tenemos que esperar al viernes y tratarnos un video? ¿No podéis responder y punto?
A mi personalmente me parece una chorrada. Gallir guardaba las contraseñas en texto plano. Y la información que se puede sacar de aquí es poca. Probablemente palmen los clones y nos los usuarios de verdad.
Pero ya que os ponéis ¿por qué tenemos que aguantar una espera y un formato insufrible?
#35:
¿Habéis comunicado la filtración a la AEPD como obliga la Ley? Gracias.
#11:
¿Cuándo vais a poner mas emojis? Así como por poneros un ejemplo, el emoji pelirrojo que se me prometió
#prayforamperobonus
#prayforamperobonus
comentarios. O crea tu cuenta
Comentarios
#5 Dale una oportunidad al amor, yo estoy segura de que has ligado. 😍
¿Habeis comunicado a todos los usuarios afectados a través de su email?
¿Los usuarios afectados son los que su ID está dentro de los 250k primeros?
¿Cómo vais a compensar a los afectados? ¿Con una cuenta de Meneame Premium?
¿Podeis explicar técnicamente como ha sido el ataque?
¿Qué datos exactamente han sido robados?
¿Es cierto que los rancios nos hemos librado del robo?
#0 La pregunta de rigor: la tortilla, ¿con cebolla o sin cebolla?
Es necesario tener en abierto nuestras IPs e emails en la BD?
Cuantas veces a la semana usas ese gif en tus chats de trabajo?
Cuantas horas extras sin pagar te has comido por este marron?
¿Por qué ya no es público el código fuente? ¿Qué tiene tan especial que no puedan ver y revisar los mortales?
#0 Viendo que hay usuarios a los que no les importa rascarse el bolsillo para conocer los emails y claves de los demás, y a nadie parece importarle, aunque lo reconozcan en portada:
¿Qué hay en el famoso volcado de datos de meneame?
¿Os habéis planteado vendérselos directamente y os ahorráis intermediarios?
Hola #0. En la nota del blog, comentásteis que las contraseñas almacenadas están hasheadas con MD5 y SHA256 pero no indicáis si usais "salt" o si el nº de iteraciones de cifrado es superior a 1. ¿Podríais dar más datos acerca de esto? ¿Usais simplemente MD5(pass), SHA256(pass), MD5(SHA256(pass)) o algo más robusto del tipo PBKDF2? Es por descartar que los hashes funcionen directamente en crackstation o sitios similares con rainbow tables "corrientes"
Eres el becario? Menéame busca becario: aquí el punto de vista de un usuario de la web desde hace 13 años
¿Habéis comunicado la filtración a la AEPD como obliga la Ley? Gracias.
#5 esa lo que quiere es casarse contigo, hacerte ruso y mandarte a Ucrania. Ojito con las recruiters.
¿Cuándo vais a poner mas emojis? Así como por poneros un ejemplo, el emoji pelirrojo que se me prometió
#prayforamperobonus
Hola, boinas.
- ¿Salgo guapo en la tabla?
- ¿Se ha filtrado mi tarjeta de crédito que no os he dado?
- ¿Es delito comprar o compartir esa tabla?
- Marcos, ¿Por qué no me amigas?
¿Han accedido a mis datos? Es que una rusa que está muy buena me está escribiendo y no se si es una estafa o es que he ligado.
¿Es cierto que gracias a la nueva imagen y por cumplir con la paridad de sexo en MNM habéis contratado a una nueva becaria?
Como me parece que nadie lo dice (no lo he visto) lo digo yo.
¿Por qué tenemos que esperar al viernes y tratarnos un video? ¿No podéis responder y punto?
A mi personalmente me parece una chorrada. Gallir guardaba las contraseñas en texto plano. Y la información que se puede sacar de aquí es poca. Probablemente palmen los clones y nos los usuarios de verdad.
Pero ya que os ponéis ¿por qué tenemos que aguantar una espera y un formato insufrible?
#37 Porque con la de programadares que hay aquí pondrían a parir el código en cero coma.
¿Creéis que si hubiera habido un departamento informático con perspectiva de género esto se pudiera haber evitado?
#45 es increible Manolitro, ¿esto también?
Te ha tocado todo lo malo del mundo.
Huele a SQL injection. Sanitisais las entradas?
'); SELECT password from users; - -
Entonces al final qué, ¿me paso o no a Mediatize?
#114 Si tu compras una tele sabiendo que es robada ya es un delito, al margen de que conozcas la identidad de quien hizo el robo.
#61 te han hackeado. Lo mejor que puedes hacer es cambiar tu foto de perfil por una con 128 pixels alfanuméricos incluyendo mayúsculas, minúsculas y emoticonos.
Si es verdad que os pagan por mantener la web y aguantar tanto troll, ¿Los cacahuetes llevan cáscara o vienen pelados?
#183 lo que dices now tiene ni pies ni cabeza
No he recibido ninguna notificación de Menéame y me gustaría que me dijeran si han accedido a mis datos, que datos se han filtrado y qué debo hacer en caso de que así sea.
#11 Síii, emojis, emojis.
No los cambiáis de hace décadas.
#188 no tengo ni idea de qué tiene que ver una IP en una base de datos con tus problemas con el móvil, ¿tú sabes lo que es una IP?
¿Cuándo vais a cumplir la LGPL?
#55 A perro flaco todo son pulgas
#37 ¿Por qué ya no es público el código fuente?
¿Vergüenza?
#21 Si hay gente que haya pagado por la lista ( y la forma de conseguir esos datos, que sepamos, es pagar 200 euros) está cometiendo un delito de receptacion.
Y si se niega a decir su procedencia, de encubrimiento.
Si no me falla la memoria hay alguien que ha hecho las dos cosas.
#53 prefiero el hackeo que el video.
Puedo mudarme ya al nuevo diseño o sigue petando?
Que version de meneame usan ellos?
Hay tema oscuro en el nuevo diseño? Si no lo hay, cuando lo habrá?
#1 ¿El robo de datos con o sin patatas?
#27 A mi también me salió de cambiar la contraseña, pero di por hecho que eso era para todo el mundo, al menos no decía nada de que yo hubiera sido afectado concretamente. Mi ID es más de 300k y suponía que no, pero ahora ya no se.
#0 ¿Ha sido esta la notificación de los afectados?
#21 no deberías dar cosas por supuestas y menos sin citar. Es lo mínimo.
#27 Yo cambié la contraseña nada mas salir a la luz el suceso, y aun así meneame me saltó a los dos días con la obligación de volver a cambiar la contraseña... y me dejó repetir!!! ni siquiera comparó los hashes o comprobó la complejidad de la misma.
#4 mi ID está entre los afectados, me salió una ventana para cambiar la password, pero de notificación por email nada
Me habéis hecho cambiar de contraseña por primera vez en 15 años. ¿Os parece bonito?
#33 sí
#85,
.¿Por qué me habéis copiado la foto de perfil?
#16
#41 El desconocimiento de la ley no exime de su incumplimiento. Esta ley es usada en todos los países del mundo conocido.
https://es.wikipedia.org/wiki/Ignorantia_juris_non_excusat
Es decir que todos los pobres mortalillos debemos estudiar leyes o contratar a un abogado.
Si yo soy de la pública y no tengo dinero ni para una caña, soy carne de cañón.
Antes de hacer cualquier cosa, tengo que empollarme el BOE .
No me cuadra.
#71 es un borrado lógico, no físico. Personalmente creo que hay que buenas razones.
#6 Ya te contesto yo: es delito comprar material robado sabiendo que ha sido robado.
#91 prefiero no acceder a datos de usuarios robados, gracias.
Dentro de los datos robados ¿hay usuarios 'borrados'?
Es decir, los que se quedan como --123456--
¿de esos 660000 usuarios registrados cuántos son bots? una cifra concreta.
¿cuantas multicuentas? una cifra concreta.
¿que postean los bots? ¿están controlados por una IA?
#5 Las dos cosas hermano. Las dos cosas. Y ahora que te veo más tranquilo gracias a mí, prepara la cartera para pagar ambas cosas.
#47 Y si das cuenta que la has cagado antes de hacer commit, puedes recurrir hacer un rollback y es como si no hubiera pasado nada
Tu amigo el DBA
#22 No usan salt, del código de Menéame es en su mayoría open source y lo puedes mirar. Yo mismo probé a revertir algunos MD5.
#48 tampoco han robado la base de datos, aún la siguen teniendo en el servidor de Menéame
Lo más grave a mi entender es que se ha revelado la identidad de muchos que comentábamos aquí con la idea de que esto es más anónimo que otras redes sociales.
Mi confianza en Menéame se ha visto totalmente traicionada. Quizá lo justo sería poder borrar comentarios antiguos de los usuarios afectados para que quien conozca la identidad no acceda a su contenido. No sé si me explico...
#18 Respondido en 30:00
#24 Existencia de ánimo de lucro al cometer la receptación. Se deduce a partir de elementos objetivos, y se refiere no solamente a beneficios materiales sino incluso, en cierta forma, un reconocimiento social.
No parece que haya ánimo de lucro, lo del reconocimiento social muy cogido por los pelos.
Siendo víctima hacer el pago puede explicarse para valorar el alcance del daño.
Lo más reprochable es la financiación a quienes sí han cometido el delito, lo mismo aplica al pagar rescates tanto de personas como para descifrar datos por un virus.
No me consta que esto se persiga.
#98 El problema no está en el texto que has copiado sino en tu interpretación de que aplica a este caso para el usuario al que acusas de ello.
#107 Quizá has hecho poca interpretación pero parece que la poca que has hecho la has hecho fatal.
No parece que haya ánimo de lucro, lo del reconocimiento social muy cogido por los pelos.
Siendo víctima hacer el pago puede explicarse para valorar el alcance del daño.
Lo más reprochable es la financiación a quienes sí han cometido el delito, lo mismo aplica al pagar rescates tanto de personas como para descifrar datos por un virus.
No me consta que esto se persiga.
#113 Yo conozco de una fuente porque fue publicada en menéame, se publicó una captura de la deep web donde sospecho había datos suficientes para encontrar dónde comprar los datos. Es esta: Parece que menéame ha sufrido un hackeo
Parece que menéame ha sufrido un hackeo
twitter.comSi se han comprado por la deep web no hay ningún motivo para presuponer que se conoce a quien lo vende. No habría por lo tanto encubrimiento alguno.
Si tienes noticias del desenlace de las actuaciones de la policía te agradecería nos fueras informando, aunque ya te adelanto que no es la policía quien determina la culpabilidad de un acusado sino un juez.
#85 Si no la conoces...es que la has liado bien parda al mezclar el cloro...
¿Son ciertos los rumores que apuntan a que ninguno de los últimos clones registrados, que pululan por aquí publicitando la guerra, se ha visto afectado?
#39 en tu artículo yo y otros te preguntamos para aclarar este tema y no nos has querido contestar, es lo mínimo, ya que se trata de nuestros datos.
#9 Respondido en 24:15
#11 Respondido en 24:50
#15 Respondido en 28:14
#83 Respondido en 44:50
#37 para que no se rían de las chapuzas?
#53 ¿Por qué tenemos que esperar al viernes y tratarnos un video? ¿No podéis responder y punto?
Respuesta en el vídeo: "no es cosa nuestra, es cosa de los preguntados", responde el preguntado
#182 200% de acuerdo contigo
¿Hasta cuando pregúntame en vídeo?
#1 Respondida en el 4:17
#21 Respondido en 33:50
#127 marcos baneado
#197 Uf, suerte que no ha habido un eclipse recientemente.
#85 es famosa porque "LA he liado parda"
Se confundio con los quimicos de la piscina y genero una nube toxica.
#20 y ¿Se va a aprovechar para hacer limpieza de usuarios inactivos?
¿Queda información de los usuarios desactivados en la base de datos? En ese caso ¿Que información ha quedado expuesta de esos usuarios desactivados ?
¿ No hay alguna norma que obligue a borrar totalmente la información de un usuario que así lo quiera?
#27 A mi también, pero ya la había cambiado tras enterarme. Por cierto, que tras lo de meneame, me ha saltado un aviso de facebook de intento de cambio de password (si, uso el mismo correo). Lo divertido, es que se supone que yo borré mi página de facebook hace años... o al menos eso le ordené a FB.
#43 sí
#56 Muy buena idea Antonio García, de Segovia. El anonimato es lo principal
#89 es un fichero que circula por ahí, como tantos otros. No tiene nada de especial. Si lo buscas, lo encuentras.
#2 Qué pesadilla con las IP, vamos a ver, ¿cómo guardas un dato consultable si no es "en abierto"?
Literalmente todos los sistemas de gestión de contenidos loguean las IP de los usuarios y de registro. Yo baneo rangos completos en un foro para atajar spam Pakistaní.
#90 Touché
#33 Respondido en 37:15
#197 pues nada, si lo tienes claro...
#21 @Ripio
#31 yo cambié clave y email en cuanto me enteré.
El sistema de Yahoo para crear cuentas de correo desechables es bastante bueno (si tienes la costumbre de usarlo con todo)
#38 ¿y tienen los mails, por ejemplo, de dichos usuarios?
#17 joder, si aún sigue el de profesor...
#69 Pues el texto no es mio, es copiado.
#105 Datos robados que están en venta.
Datos que afirmas tener.
Poca interpretación.
#108 Eso explícaselo a la policía que es con quien acabo de hablar.
Ademas, no quiere revelar la fuente, eso es encubrimiento.
#156
#27 a mi tb, y ya la había cambiado dos días antes.
#34 si yo fuera concebollista estaría bastante jodido de que se filtrara que no sé cocinar y necesito echarle cebolla a la tortilla para que quede jugosa
#23 Yo tengo la lista pero no es robada, me han dicho que se cayó de un camión.
#63 Creo que no la llegan a eliminarla nunca, siempre tienes la posibilidad de volver a entrar y reactivarla, o algo así me suena.
#46 Respondido en 31:35
#185 ¡¡y encima responden escribiendo con una referencia al video!
patchgirl te voy un contar un secreto: ¡los sitios funcionan cuando se les da a los usuarios lo que buscan!
Que ni siquiera es un enlace al minuto:segundo del video, no. Es una indicación de búscate la puta vida. Por eso mis caras de troll.
Google intenta dar los mejores resultados para que le sigan usando. TripAdvisor intenta tener opiniones relevantes.
Pero vosotros por lo general hacéis lo que os sale de los pies, denigrais al usuario por pedir lo quiere (si, esto es recurrente: os piden los preguntame por escrito), se os quejamos de la moderación y no decís ni mú, teneis esto petado de cuentas falsas...
Ha quedado clarisimo lo que os importan usuarios. Desde hace tiempo, pero esta vez has tenido las narices de grabarlo en video y ponerlo en YouTube.
Y para más inri ante un hackeo.
Como la lias Marcos.
¿Entonces exactamente cuál es la vulnerabilidad?¿Cómo se detecto?
#1 ha habido un filtrado del gusto de la tortillas de los meneantes? Se sabe si alguien pagará algo por ello?