Menéame, el popular agregador de noticias (y comunidad online) en español, ha sido hackeado. Según confirmaban hace unas horas en su blog corporativo, en dicho ataque, pese a que "fue atajado inmediatamente", no han podido evitar que se filtraran "datos de algunos usuarios", según reconoce su comunicado.
#2 Cuantas más veces se avise, mejor. Estamos hablando de una web de cientos de miles de usuarios y tú de dos noticias en portada, una no encontrada y otra con cuatro mil clicks. Lo primero que se debería hacer es informar desde la administración a los usuarios a través del correo.
#9 Un reset desde la administración puede ser un reto técnico, teniendo que soportar un pico de tráfico continuado durante varios días. Y los banners mucha gente no los lee y tendrían el mismo efecto que el reset. Pero un correo lo puedes ir enviando primero para informar y luego que poco a poco la gente vaya cambiando la contraseña hasta que se encuentre una solución mejor o se esté en condiciones de hacer ese reset.
Y otra cuestión más. Con el reset te encuentras con que dejas a muchos usuarios inhabilitados y se puede perder un gran porcentaje porque los usuarios ya no tienen la dirección de correo con la que se registraron.
#11 Ya, pero por exceso dejas quizás a un diez o un quince por ciento de los usuarios sin sus cuentas, aparte de que no es necesario. Lo que está primero de todo es la obligación de dar información a las personas que les han cedido datos personales, y no que estemos teniendo los usuarios que enterarnos por comentarios en la web y un artículo en otra. Tienen que enviar un correo con información, y sí poner un banner, y luego ir informando de qué pasos dar para cambiar la contraseña (y, como decía en otro comentario, la clave de la API y la url esa con secret key que había antes y que te permitía entrara directamente sin poner usuario y contraseña, ahora no sé si sigue existiendo).
Comentarios
de qwerty a qwerty1234, si despues de esto consiguen entrar yo no se que mas hacer.
#0
Duplicada y por dos veces portada
www.meneame.net/story/ataque-extraccion-datos-meneame-analisis-medidas
(tambien portada)
www.meneame.net/story/hay-famoso-volcado-datos-meneame
Aparte:
www.meneame.net/story/faq-meneame-hackeado
www.meneame.net/story/parece-meneame-ya-sufrido-hackeo
@Admin
Para cuando el reset??
Yo ya he cambiado la mia, pero hay gente que seguro que no.
#2 Léete el envío y después plantéate si es duplicada.
Lo que aparece en el envío no está en tus 4 enlaces.
#2 Cuantas más veces se avise, mejor. Estamos hablando de una web de cientos de miles de usuarios y tú de dos noticias en portada, una no encontrada y otra con cuatro mil clicks. Lo primero que se debería hacer es informar desde la administración a los usuarios a través del correo.
#8 Pues que pongan un banner o que hagan un reset
No es tan dificil lo primero y es un botón lo segundo
#9 Un reset desde la administración puede ser un reto técnico, teniendo que soportar un pico de tráfico continuado durante varios días. Y los banners mucha gente no los lee y tendrían el mismo efecto que el reset. Pero un correo lo puedes ir enviando primero para informar y luego que poco a poco la gente vaya cambiando la contraseña hasta que se encuentre una solución mejor o se esté en condiciones de hacer ese reset.
Y otra cuestión más. Con el reset te encuentras con que dejas a muchos usuarios inhabilitados y se puede perder un gran porcentaje porque los usuarios ya no tienen la dirección de correo con la que se registraron.
#10 contras y pros, siempre es al final una balanza
Si no haces nada, se puede liar más que si tiras usuarios
Esto es como la pandemia, en mi opinión ; mejor pecar por exceso que por defecto.
#11 Ya, pero por exceso dejas quizás a un diez o un quince por ciento de los usuarios sin sus cuentas, aparte de que no es necesario. Lo que está primero de todo es la obligación de dar información a las personas que les han cedido datos personales, y no que estemos teniendo los usuarios que enterarnos por comentarios en la web y un artículo en otra. Tienen que enviar un correo con información, y sí poner un banner, y luego ir informando de qué pasos dar para cambiar la contraseña (y, como decía en otro comentario, la clave de la API y la url esa con secret key que había antes y que te permitía entrara directamente sin poner usuario y contraseña, ahora no sé si sigue existiendo).
#12 al final ha habido reset.
Me acaba de pedir cambiar contraseña, pero sin enviar nada al mail.
#13 A mí todavía no. A lo mejor es escalonado.
¿Y quién la va a comprar?
Coño; voy a cambiarla.
#1 ¿No habría que cambiar también las claves api y el acceso ese directo que hay por url sin poner usuario y contraseña?
A un euro los datos.