Hace 2 meses | Por ccguy
Publicado hace 2 meses por ccguy

Comentarios

t

#9 Sin la fecha no pueden completar la operación.

El_Tio_Istvan

#9 Es lo más apropiado.

devilinside

#9 ¿Y no metes en la contraseña el número de teléfono por si acaso?

maria1988

#9 Pero ¿cómo va a estar eso si esos datos no los tiene Menéame?

a

#42 el premium se paga con tarjeta, y piden el DNI ..

bac

#42 hola

Es una coña

Aimfain
editado

#9 Oye, pues bien pensado, porque yo el pin lo escribo detrás de la tarjeta pero al meterla en el cajero no puedo verlo.

inar

#65 Yo para evitar eso, tengo dos tarjetas y en cada uno llevo apuntado el pin de la otra. Y así si me roban meterán el pin que ven apuntado y que no es, bloqueando la tarjeta. Es un win-win

e

#9 la contraseña como tal no está sino un hash, es decir el resultado de aplicar una formula matematica a tu contraseña que da un chorizo de letras... llegar a la clave real es imposible, lo que puede ocurrir es que al ser una formula otra palabra genre el mismo hash, hay diccinarios de hash que te permiten obtner palabras que generan ese hash y de ahi que contu contraseña y o otra palabra se pueda entrar

BIackHorn
editado

#9 Tienen tu IP, imagina que tuvieses en el pasado un flame con un narcotraficante de esos mexicano que cuelgan cadáveres en un puente con un cartelito... y tiene tu localización ahora.

pkreuzt

#9 Como idea básica, una contraseña se suele pedir que tenga una combinación variada de diferentes tipos de caracteres por algo. Usar solamente números es muy mala idea. En una máquina de crackeo potente, se tardan apenas segundos en recorrer todo el espacio de claves hasta una cifra alta de caracteres. Como mínimo, añade un par de letras (mayúsculas y minúsculas mezcladas) y algún símbolo extra.

D

#3 cuentas viejas y muchas borradas.

A ver si alguien lo confirma... pero... si te das de baja en mnm, ¿Tus datos siguen estando ahí?

X

#41 Aun estoy esperando el email comunicando la situacion. Pretender dar por informados a los usuarios afectados por un post en un blog me parece una muy mala gestion.

En septiembre de 2020 ya informe de un aviso de filtracion que me lanzo el antivirus y quedo en nada diciendome que no habian detectado nada. Ahora por lo visto vuelve a suceder pero nos enteramos por otra persona y escriben un post cuando ya no lo pueden ocultar al ser tan publico (por cierto diciendo que nos van a obligar a cambiar los passwords, cosa que aun estoy esperando tambien). No comunican por email a los afectados del hecho sucedido (quizas para evitar que les denuncien?)

Y para colmo un usuario de la comunidad es el que mas informacion nos ha podido dar (por cierto, gracias).

p

#3 SI los passwords no estan encryptados es para hacerselo mirar seriamente

pedrobz

#50 Pues no, no están encriptadas... están hasheadas con sal

p

#69

Khadgar
editado

#76 Encriptado y hasheado no son lo mismo. Básicamente porque el encriptado es reversible mientras que el hash, no.

parrita710

#3 Yo me libro por 10k usuarios.

reivaj01

#51 Yo también me libro, y menos mal, porque utilizo la contraseña 1234 y el email del curro.

AntonPirulero

#80 ¿y dónde curras?

BIackHorn

#51 Aqui uno con cuenta nueva... no he logrado recuperar la anterior, no me acuerdo el mail que use

arcangel2p

#51 Yo no, y por más de 300k usuarios
Al volver a entrar a la web, de hecho, me redirigió automáticamente a una pantalla para resetear el password.

t

#58 tengo la 127 pico mil... me siento viejo ahora mismo.

ElTioPaco

#58 #66

Y que aquí sigamos no tengo claro si es bueno.... O malo....

Aimfain

#66 Si te sirve de consuelo tengo 347mil por cambié de cuenta, si no sería anterior a la tuya... recuerdo que llegué a Menéame porque me la recomendó una profesora en el instituto allá por 2007.

MAD.Max

#81 ¿una mujer recomendando menéame, y en 2007? nos estás intentando engañar!

Nylo

#81 pues a ver qué email y contraseña usabas en la primera, porque eso sí lo tienen.

mindframe

#58 #66 noobs...

B

#83 cuando yo llegué todo esto era campo

MAD.Max
editado

#92 #93 ¿un campo de nabos?

t

#93 La verdad es que tardé más de dos años en registrarme. Entré durante años como voyeur jejeje...

T

#66 En los 109k ando yo

uno_ke_va

#66 yo no llego ni a la mitad de eso. Cuando creé la mía todo esto era campo.

kaostias

#66 120K por aquí

Ka0

#66 joer, eso es ser joven yo la oncemil y pico, mi email es meneame@ymascosasquenoosdire, la contraseña nunca me acuerdo, la suelo preguntar a Google

o

#58 yo tengo esto en mi perfil antiguo:
 
ID y Nivel 4489 / normal
 
Eso quiere decir que mi cuenta no se ha pillado, o que si? 

cristomc

#58 Que tenga que volver a meneame solo por verificar si está afectada me toca los cojones

Por ser cuenta vieja, pero que se había pirado y evidentemente no ha recibido email comunicando ser de los afectados...

n

#3 Siendo del 2007, yo he pillado cacho, pero ya he cambiado la contraseña.

Afortunadamente, la anterior solo la tenia para este usuario, asi que estoy tranquilo.

Abril2022
editado

#3 me alegro de ser un abril de 2022

#3 me salvo por poco, estoy en rango de ID 340.000

no_estuviste_alli

#3 id 75k y poco, me cago en tó

benderin
editado

#3 ID 160428, caigo de pleno, pero para lo que les va a servir... Yo ya le había comprado la cuenta a un jaque ruso

mudito

#3 Aquí un "cuenta-vieja" y sin cambiar email ni password. Viviendo al límite.

inar

#3 ¿Esto del jaqueo no será un intento de los admin de localizar clones?
Vamos a simular un jackeo y que la gente cambie su password. Ahora sácame un listado de usuarios que han cambiado su password y desde qué IPs. Tachaaaan!!

solrac79

#3 Yo estoy por encima de ese número y alguien ha intentado acceder a la cta de correo asociada. Mucha casualidad, no?

C

#3 Pues hala, me ha tocado. Lo que tiene ser antiguo aquí
Menos mal que creé la cuenta con datos fuleros

A

#3 ups será??

N

#64 Te crees que siguen la ley? si ni han avisado por email a los afectados, van a seguir la GDPR 100% made in spain, eso si seguro que se pasar por el hilo a llenarlo de amor con strikes

brainsqueezer

#64 ¿Eliminar los datos de aquelllos usuarios que haga mucho tiempo que no se conectan? De esto no he escuchado nunca hablar y me he leído la ley.  ¿Tienes algún sitio para que pueda mirarmelo?

lawnmowerdog
editado

#64 Tienen al becario, que también desarrolla la web y que seguramente ha causado la brecha de seguridad, ahora mismo preparando el mailing con mailchimp...

orangutan

#5 La has jiakeado

M

@admin #0 #5 Mi preocupación va en varios frentes.

1. Ante una brecha de seguridad que afecta a cientos de miles de usuarios, ¿cómo demonios puede considerarse que habéis informado a nadie con un post en un blog y un meneo? Tenéis los correos de los usuarios afectados, USADLOS para lo que han de servir, e informadles del riesgo para que tomen las medidas pertinentes.

2. Leyendo el post del blog de Menéame, se entiende que en el momento del ataque éste fue detectado pero no se hizo ningún caso. No fuisteis conscientes de la brecha de seguridad hasta que alguien se puso a vender los datos públicamente. Es decir, nadie en Menéame sabe cómo robaron los datos, lo que implica que puede volver a suceder en cualquier momento. De hecho no cuesta imaginar que el mismo que lo ha hecho sin que os enterarais lo va a volver a hacer en el futuro.

3. A tenor de lo expuesto en el punto 2, ¿sois conscientes de que las cuentas cerradas o baneadas no tienen posibilidad de cambiar su contraseña y por tanto sus datos están expuestos a ataques posteriores? No ya porque les puedan robar una cuenta de Menéame (que está cerrada e inaccesible), sino porque se pueden utilizar estos datos de Menéame para robarles otras cuentas en otros servicios, y el propio Menéame imposibilita a esos usuarios prevenirlo. No estaría de más eliminar automáticamente los hashes y datos personales de las cuentas cerradas, o como mínimo que se almacenen en otra base de datos inaccesible desde los servidores de explotación.

Pagano

#4 Debes ser el novato de la serie de espias.
Preguntando a destajo

El_Cucaracho

¿Qué volcado?

ElTioPaco

#1 el que tengo aquí col.....

u

#2

DavidElNoHomo

Hola #0

No lo dices explícitamente, pero diría que de este artículo se deduce que habrías comprado esos datos filtrados.

De ser así, creo que aunque tu intención sea analizarlos para tranquilizar a los demás, te podría exponer públicamente en el caso de que finalmente esos datos se usen con finalidad delictiva.

Diría que la compra, a sabiendas de datos procedentes de un hackeo también podría incurrir en un delito en sí mismo, pero esto que lo aclaren los expertos legales que suelen andar por aquí, y mis disculpas por anticipado si me equivoco.

En cualquier caso de no haberlos comprado, ¿Cómo has llegado a esas conclusiones? ¿Se ha publicado el listado completo en algún otro sitio?

Gracias

E
editado

#67 ya te ha dicho que no lo va a decir. Pero hay más posibilidades, por ejemplo: que conozca a los admin y le hayan dejado mirar una copia de la tabla que generaron los hackers y haya quedado en el servidor, que haya entrado por el mismo sitio, que esté rulando la tabla en la deep web o en una plataforma P2P, que haya usado otro exploit para copiarla o que se lo haya confiado otra persona que sí haya pagado.

En alguno de esos supuestos no lo dirá por las consecuencias legales y en otros tampoco lo diría para que no venga otro y haga lo mismo.

Poignard

#60 una duda, ¿has recibido alguna comunicación por parte de Meneame de que tu cuenta está dentro de las afectadas? porque si no, están incurriendo en una ilegalidad

w
editado

#70 No, no he recibido ninguna comunicación.

Nylo

#70 hay 72h de plazo

E

#60 +1 pero te da igual, es hasta peor porque al borrar la cuenta los comentarios permanecen asociados a tu ID con el formato 123456. Y el que tenga la tabla tiene aparte de tu correo, el correo original que usaste para registrarte tu nick y tu ID.

Tendrían que tocar código y cambiar la manera se presentar los comentarios de usuarios dados de baja y aún así alguien se los habrá descargado haciendo scrapping

m

Si han volcado 300000 cuentas y solo es el 17% ... En Menéame hay casi 1800000 usuarios registrados? Muchos me parecen...

frg

#13 A una media de diez clones por usuario "real" siguen siendo muchos. Igual son 100 clones por usuario ...

Huaso

#13 si sumas las cuentas creadas por mediatize para spamear y las de trolls otanistas y putinejos pocas me parecen…

Manolitro

#23 no te olvides de los ciber voluntarios del gobierno de progreso que aparecen en oleadas

libertaddigital.com

m

#13 ya lo han actualizado: "Aparentemente solo han tenido acceso a email y contraseña cifrada del 41,5% de usuarios, los primeros. Teniendo en cuenta el ratio de actividad de usuarios activos entendemos que no afecta a más del 17% aproximadamente de usuarios que sigan conservando ese email y contraseña (tenemos más de 660.000 usuarios registrados, pero hay muchos bots y mails inactivos)"

X

#37 Sabes que empiezo a pensar? En el post del blog pusieron que tardaron porque lo estaban estudiando con los servicios juridicos. Y creo que el consejo que les dieron es "tapar todo lo que podais porque sino os va a caer un marron para flipar". Y eso de "Aparentemente"...no me jodas!!! no lo saben?? que un usuario sin acceso al sistema nos ha dicho mas verdades.

cromax

Estoy de acuerdo con lo que expone #0
A ver, podríamos preocuparnos si esto fuera, por ejemplo, un sitio de compras con movimientos de tarjetas. Y aún así.
O si fuera una página sensible con datos médicos o financieras.
Pero que me haga spam a una cuenta chungaleras (todo el mundo deberíamos tener un yahoo o hotmail para estas cosas) o incluso a la que usemos con frecuencia es el "peligro" más grande que corremos.

n

#19 bueno, eso es relativo. Usar el mismo email aquí que en Amazon, pues mejor que no, pero el punto es no usar el mismo pass, como sería lógico. Al final, que conozcan tu email con un pass exclusivo para MNM evita problemas más allá. No sé si es tu caso, pero bueno.

benjami

#19 la publicación de la oferta fue domingo 2-10-2022 a las 18:27, así que no fue por eso.

cosmonauta

#43 Gracias. Pues me dejas entre más tranquilo y más preocupado. El tipo que me intentó entrar en Amazon tenía el password pero, por suerte, no pasó la segunda verificación. Cambié rápido de password y problema resuelto. Pero me dejó mosqueado el tema.

benjami

#44 Yo me preocuparía 😅
Según sea tu contraseña, podrás imaginar si viene de personas que te conocen. Si es que sí, todavía te tienes que preocupar mucho más 😆

cosmonauta

#45 No. Mis contraseñas son seguras. No las cuido demasiado, pero son seguras. Nadie las conoce y son muy raras. Y tengo extrañas combinaciones entre ellas. Pero a veces puedo llegar a compartir alguna por error.

M

#12 Aunque solo sea el mail, pass hasheado e IP ya puede ser peligroso y dice poco de la seguridad de esta página. No hay que quitar importancia a estas cosas.

sofazen

#38 Las telcos nos van cambiando las IPs al 99% de nosotros. Un email es algo público. Y un hash que no coincida con el password de otra cuenta tuya ...
¿dónde ves tú el peligro?

Laro_cor

#33 Por aquí puedes ver algo: haveibeenpwned.com
...pero si tu mismo tienes dudas de que determinada contraseña pueda estar en un diccionario ten por seguro que está...

L

Sean cívicos no se insulten por email sigan usando los comentarios

N

Imagina que por unos dias no entras en la web, y te pierdes lo sucecido no hay ningun aviso por parte de la web, yo no he recibido ningun email, que gran servicio todo hay que decirlo

omegapoint

#0 ¿se sabe como han conseguido la información?

a través de la nueva web, la vieja, directamente de la bbdd?

Manolitro

#34 seguro que es una nueva funcionalidad de la versión "no rancia"

R
editado

Id 7000 y pico, me ha pillado seguro. Pero vamos, aunque no me preocupa tampoco me hace ninguna gracia.

Que poco fiable, menudos patanes. En lugar de tanto strike y tanto censurar dedicad el esfuerzo a mejorar la web.

lolerman
editado

#87 Aqui id #59131, comparto tu comentario palabra por palabra.

editado:
me encanta el detalle como todas las contraseñas son md5 salvo la de los admins que son sha256

#95 Es la famosa lucha de clases

e

#0 alguien comentó en otro meneo que aparecen el email de registro y el mail actual.
Esto es cierto?

c

#59 Por lo que he visto en la captura, es correcto.

c
editado

#59 Si entras en tu perfil, puedes descargar los datos que Meneame tiene de ti. Ahí aparece, por ejemplo, ese dato.

No se por qué me molesto en ocultar datos, ahora esa información está al alcance de casi cualquiera

ccguy
autor

#59

harapo

¿Entonces, he cambiado las password, el pin del banco, formateado el pc y quemado mi documentación de identidad, para nada?

joder, ¡¡estas cosas se dicen ANTES!!

knzio

#21 eso no es notificar. Llegó a portada porque alguien la envió, pero pudo no haberlo hecho. Es como si lo quisieran tapar, porque no se les dio ni por poner un aviso en portada ni nada.

Tienen los emails de las cuentas afectadas, no costaba nada notificarlo por ahí.

cosmonauta

#62 Hay unos pasos definidos por ley para notificar intrusiones. Y los están siguiendo. El post en el blog es el primer paso. A la vez, hay que solucionar la intrusión y luego informar a los afectados.

Muchas grandes empresas tienen intromisiones similares y se aseguran de publicarlo con la boca pequeña. Cumplir la ley y justo. Y si pueden, se callan.

loborojo

Desde la ignorancia. ¿Qué es un diccionario de hashes?

Fernando_x

#75 Es una lista de contraseñas comunes más el hash que les corresponde. El proceso de generar el hash a partir de la contraseña es muy sencillo, pero el proceso inverso, obtener la contraseña a partir del hash es prácticamente imposible. Las webs, para comprobar tu identidad, lo que hacen es obtener el hash a partir de la contraseña que le das y lo comparan con el hash que tienen almacenado. Si coincide, puedes entrar.

Por lo contrario, si tienes solo el hash es como si no tuvieras nada. No puedes obtener la contraseña. A menos que encuentres ese hash en una lista con la contraseña a partir de la cual se obtiene. Pero claro, esos diccionarios no pueden contener cualquier combinación de los billones posibles de contraseñas. Tan solo las más comunes.

Rickodello

#82 lo que dices es teóricamente correcto, pero no lo es de forma práctica. Los hashes usados (md5 y sha2) son algoritmos súper rápidos porque se pensaron con propósito general. A día de hoy, encontrar colisiones (la pass a partir del hash) es terroríficamente fácil y rápido con el uso de GPUs

Idomeneo

#75 El hash es una operación matemática que a cada contraseña le asigna un hash:

micontraseña -> 2deae7fb1fb94ee8e23919b093b26982

El diccionario de hashes sería una tabla con lo contrario, a cada hash que haya en la tabla le asigna la (o mejor dicho una) cadena de caracteres de la que procede:

2deae7fb1fb94ee8e23919b093b26982 -> micontraseña

Paltus

Aparecen los datos de un usuario borrado? #0 saludos.

ccguy
autor

#52 sí me dices uno lo busco

analphabet

#131 #52 Creo que no se pueden borrar usuarios sino deshabilitar, y segun la descripción se borran cosas pero no los comentarios

n

#33 en mi opinión son técnicas como demasiado básicas. Si tienes un pass un poco particular es prácticamente imposible que aparezca. A no ser que en su momento usases el mismo pass en alguna web cutre que siga con md5, que es vulnerable.

M

#33 No hay un diccionario único, pero vamos si usas cualquier nombre con significado "real" o bien solo números es muy probable que esté, Por eso siempre se recomienda mezclar letras, número y símbolos y que la contraseña sea de cierta longitud.

A

Mira, yo tenía puesta una cuenta de correo mu vieja y llevaba tiempo queriendo cambiarla por la que uso habitualmente. ¿Sabeis qué? Que lo mismo dejo la que tengo.

E

#79 pues mejor porque salen ambas, la de registro y la actual.

Ni idea de por qué se guarda la de registro. Se pueden montar un lío con la LOPD por conservar datos antiguos que el usuario ha actualizado.

t

Se supone que las contraseñas están encriptadas. O así debería ser.

Adson

#14, si yo me jodí cuando la RAE añadió la acepción «mala» a interfecto, joderse los friquis si la RAE recoge «encriptar»

Pacman

#20 jamás!

K

#22 ¿Pero en cambio aceptas criptografía y criptoanálisis que son mucho mas anteriores a encriptar? Si es así háztelo mirar