Hace 8 años | Por FueraSionistasd... a genbeta.com
Publicado hace 8 años por FueraSionistasdeMeneame a genbeta.com

Patreon ha sido hackeado por unos ciberdelincuentes que, tras entrar en su base de datos, han publicado después cerca de 15 gigabytes de contraseñas, registros de donaciones e incluso el código fuente de la web.

Comentarios

delawen

#6 Deberías aplicarte más en meneame, se te escapan noticias:

Nuevas formas de financiación artística: Patreon

Hace 9 años | Por SirSign a lecturalia.com

#6 era una web para vender arte, supongo que a un gallego como Ud. señor@Professor no creo que le hubiera sido de interés, además era una plataforma que no permitía difundir el fascismo a las mentalidades EspaÑolas y disponía aún menos libertad que menéame para la infiltración.

borteixo

#20 tenemos que tomarte en serio con lo de los gallegos o trolleas al troll?

#27 ¿tú qué crees? roll
Como dice el maestro karmawhoreangelitoMagnoangelitoMagno , poner es de cobardes.

borteixo

#30 me acojo a la ley de Poe

peloxi

no ha sido hasta que el investigador de seguridad Troy Hunt de have I been pwned? los ha analizado que no se ha confirmado que eran reales y que efectivamente desvelaban varios datos sensibles como contraseñas, mensajes privados y registros de donaciones.

FALSO

Según Troy Hunt de "have I been pwned?" Compromised data: Email addresses, Payment histories, Private messages, Website activity

#18 Por tanto lo de las contraseñas se lo ha inventado directamente Genbeta siendo tanto el titular como la noticia erróneos o por lo menos sensacionalistas.

m

#4: Pues entonces a quemar títulos de perihodista.

juliander

#3 #5 Uno de los dos títulos va al fuego purificador: Hingeniebrio o Periolisto.

Dos entran, uno sale. Como la cúpula del trueno.

yemeth

#3 #4 huele un poco raro, porque la noticia dice por un lado que usan bcrypt y por otro que "los atacantes podrían haber utilizado vulnerabilidades en el código fuente para conseguir decodificar las contraseñas de los usuarios".

No se me ocurre cómo puede uno meter la pata en el código de modo que se pueda dar la vuelta a bcrypt para todos los usuarios. Alomojó es que las estaban guardando en plano y se han inventado una excusa.

Edit: Lo de #10 entra en lo posible, pero tal como lo presentan es como si lo hubieran tomado de todos los usuarios, por eso me quedo con la mosca puesta :?

D

#11 Pues precisamente con Injection SQL pueden explotar una vulnerabilidad en el código fuente. La encriptación de las contraseñas las pueden haber obtenido y haber descodificado. Eso si, como no hayan montado un mega cluster para descodificar esos gigas...

Además si te cogen las clave de encriptación lo tienen jodido.

yemeth

#21 No exáctamente. Con SQL Injection no puedes sacarlas descifradas, sino el bcrypt que haya en base de datos. Bcrypt es un algoritmo de hash, así que no hay manera de "descodificarlas" al no ser un algoritmo de cifrado que permita darle la vuelta. Con SQL Injection lo que puedes es acceder a la base de datos y si acaso encontrar alguna manera de abrirte camino al servidor.

Si quieres sacar las passwords de una forma que no sea por fuerza bruta o cifrando diccionarios (y por separado para cada usuario, porque el algoritmo tiene salt, con lo cual sería una animalada), lo que puedes hacer algún trapicheo como dice #10, cambiar tú a mano código teniendo acceso a él y poner algo en medio que capture las contraseñas cada vez que un usuario hace login.

D

#21 #40 A ver, me he bajado el dataset, y todo está cifrado con bcrypt, Cuando hablo de inyección de código no digo inyectar SQL, digo inyectar código, en general, lo que también incluye inyectar PHP, por poner un ejemplo.

yemeth

#41 Yo en #40 respondía a #21 que hablaba de inyección SQL, pero vamos, si bajándotelo es como dices asunto resuelto: se han llevado el hash en bcrypt y el periodista ha dicho lo que le apetecía, que vende más poner en negrita que han publicado 15Gb de contraseñas como en la noticia.

KillingInTheName

#40 En el caso de AM creo que las contraseñas consiguieron descifrarlas porque pillaron equivalencias en MD5 de los password, reduciendo el tiempo de descifrado en varios órdenes de magnitud, aunque no estoy seguro de ello. Puede que sí auditan el código fuente encuentren errores similares y puedan descifrar algunas contraseñas de la misma forma.

D

#4 Entonces no hay ningún problema en que se hayan publicado una, diez, cien o siete millones de contraseñas.

D

#3 Supuestamente usaban bcrypt, pero los atacantes inyectaron código para capturar las claves antes de que fueran hasheadas.

Dr.Planeta

#3 Es que aunque usen bcrypt, si te cazan la clave de encriptación estás jodido

Wayfarer

"han publicado después […] incluso el código fuente de la web"

Mirad el lado positivo, ahora Patreon es Open Source... lol

vmaldosan

Pues a mí me acaban de llamar del banco diciendo que han detectado retiradas de dinero sospechosas desde cajeros en Miami, así que sospecho que el crackeo es mayor de lo esperado. Nunca antes me había pasado. Al menos me devolverán el dinero...

montaycabe

#36 El que quiere correr riesos corre riesgos y liga con las vecinas. Si lo que quieres es jugar con el morbo de que te pille tu mujer no vas a una pagina donde te cobran para garantizarte que tu mujer no se dara cuenta jamas, ligas en badoo o alguna gratuita donde no "te esconden". ¿De verdad creees que una empresa de jumping que se haga famosa por sus accidentes mortales aumenta de clientela?

j

#39 Que jilipolleces estas diciendo? Yo no he dicho que una empresa de Jumping aumente de clientela, por que el riesgo...en ese caso es el máximo...te matas.Lo que si que digo es que hay mucho subnormal al que atrae el riesgo. Ashley Madison, tanto si ha sido hackeada como si no, ha querido quedarse con ese target.
Que sentido tiene iniciar una campaña de publicidad en TV cuando te acaban de hackear?¿Limpiar tu imagen?

montaycabe

#52 Entonces si hace una campaña de "que inseguros somos"para quedarse con el target subnormal el target "normal" no se va?

j

#53 Han pagado, en teoría por conseguir pivas. A mitad de año, quedando 6 meses para la renovación, ¿tu te irías?

montaycabe

#54 punto 1: no todos se apuntaron el mismo dia
punto 1.b: no todos se apuntan un año
punto 2: por supuesto q me voy, si me apunto a una web por ser segura y luego veo q no lo es
punto 3: acabo de ver tu mensaje #51 , que la gente se apunta a una web que se anuncia como discreta para que su mujer se entere de que le pone los cuernos y confirmo que estas como una regadera. Estas emperrado en que esto es bueno para la empresa y te inventas una chorrada tras otra que lo justifique. Seguro que tambien piensas que VW se ha dejado pillar para vender mas coches

j

#55
Punto 1: ¿Crees que es malo para Ashley Madison que ahora estemos hablando de Ashley Madison? Me temo que no sabes como funciona internet hoy en día; da igual lo que digas, cuanto mas hablas sobre algo o alguien, mas RELEVANCIA le dás...osea...mas PageRank en Google, osea...mas gente que se dá de alta...osea...mas ingresos.Piensa.
Punto 2: Por cada persona como tu que se va, ahora hay 100 que entran. Asi que a Ahsley Madison se la suda.De hecho, incluso mejor hacer limpieza de usuarios que no interesan.Aires nuevos.
Punto 3: ¿Pero como una web va a ser discreta? No he entrado en mi vida en Asley Madison ni Match.com ni similares, pero me juego el culo a que te dejan cookies que hacen que si tu mujer abre tu navegador:
a) vea en el chrome las paginas donde te has metido ultimamente.
b) si por algún casual le da por pinchar en ella, que salga ya tu usuario y contraseña (descubriendo tu alter ego porno/don juan seductor setentero)

j

#56 Y por cierto, con respecto a lo del VW...seguro que ya has oído a varios de tus conocidos (o espero que hayas pensado) decir que seguro que bajan los precios de VW, Seat, Audi o Skoda...si baja el precio, no crees que aumentarán las ventas?

montaycabe

#57 ¿ves? Lo sabia, no importan las sanciones, que tu cotizacion baje un tercio, las multas, la ocnfianza, nada, todo srve para que la empresa vaya mejor, eres un optimista insobornable

montaycabe

#56 Vale, es verdad, he estado pensando y tienes razon, he aprendido muchas cosas:
• No existe publicidad negativa, siempre se suma. Si dicen que tu empresa es magnifica, ganas clientes. Si dicen que tu empresa estafa y no cumple, ganas clientes tambien. Gowex estara vendiendo accciones como nunca ahora mismo.
• Se puede saber que una web funciona mal sin entrar en ella.
• La gente se apunta a webs de citas discretas para que les pille su mujer y los eche de casa.
• Si se publicita que tu web no es segura aunque la seguridad sea la base de tu negocio, eso provoca que adictos al riesgo se apunten en masa. Los demas clientes no se van, y si se van, mejor, porque no interesan.

Ale, lo dejo antes de aprender mas.

LuisPas

pues es un temazo, hay mucha gente alli.

chorche77

A mi me llegó un correo ayer. Dicen que se han llevado mails, nombres y datos pero no información de tarjetas ya que no la almacenan en sus sistemas. Menuda cagada.

delawen

#35 ¿En meneame o en la noticia original? A mi me van ambas.

¿O te refieres a 404 no woman found?

thorin

#23 Espero que si, aunque ni tengo ni idea.

j

A ver...es que creo que no os dais cuenta. Todas las noticias que salen ahora sobre que la página que sea ha sido Hackeada es puro marketing. Ashley Madison...puro Marketing, y la prueba la teneis en los anuncios que se vieron, por ejemplo, en las cadenas de TV españolas. Unas semanas mas tarde...Match.com...maaaaarketing...y ahora estos. Están creando un marketing nuevo de un servicio en una primera instancia "seguro" pero que tiene sus peligros como que les hackeen. Es un poco como el marketing que podría tener una empresa que hace saltos de puenting...es totalmente seguro...hasta que te matas y puede pasar en un x% de los casos. Juegan con esa atracción por el riesgo.
¿Acaso habéis accedido alguno al listado de esas credenciales?

vmaldosan

#24 Eso díselo a los usuarios de Ashley Madison que tuvieron que dar explicaciones a sus esposas.

j

#26 Ahí está el "feeling" de ese nuevo tipo de publicidad; en que a lo mejor tienes que dar explicaciones.Ese pequeño "riesgo" que hay que correr es lo que ahora te estan intentando vender.

j

#34 Y lo peor de todo es que lo están consiguiendo.

delawen
j

#31 error 404

D

#24 #28 No veo en qué sentido puede ser beneficiosa para la empresa una publicidad negativa que hace que tus usuarios presentes y futuros huyan en estampida.

La confianza del consumidor en la marca es un activo muy valioso. Perderla por una tontería es cualquier cosa menos márketing.

D

#48 Que hablen de ti aunque sea mal. Además, el consumidor está harto de oír que google, facebook, dropbox y cualquier ente de internet que recopile información, venden todos sus datos a otras empresas y a gobiernos; y como puedes ver todo sigue igual. A los usuarios ese "activo muy valioso" que es la confianza se la suda bastante.

D

#49 Estamos hablando de filtraciones de contraseñas y datos sensibles o comprometedores (bancarios, sentimentales, etc.). Que yo sepa tus ejemplos no te obligan a proporcionar dichos datos, sólo se los regalas si eres tonto.

Y tampoco veo en qué sentido es comparable:

- que la empresa sufra una pérdida de datos personales y sensibles debido a su ineptitud.

- que la empresa venda datos personales en base a una política de privacidad que el usuario ha aceptado consciente y voluntariamente.

j

#49 Efectivamente.Y además...precisamente las dos empresas que se han lucrado (tanto Ashley Madison como Match.com ) con esta publicidad "negativa" como la llamais, estaban perdiendo muchos ingresos con el boom de las redes sociales, por que, a decir verdad, las pivas ahí tienen las mismas posibilidades que en un chat, osea...aunque sean gordas, deciden. Y los tíos también las mismas.
Por otro lado, si le pones los tochos a la parienta, esperas que en algún momento se entere y que sea ella misma la que se pire, por que si no no lo harías.
Una cosa es la psicología barata(confianza del usuario, etc..) y otra cosa es si vamos un poco mas allá...

T

Patreon, eso que nadie sabe que es, pero es noticia.

MILFhunter

Joder...al principio había leído ''Peatón ha sido hackeado...'' y creí que era una noticia del Mundo Today.

L

Yo soy Patron de Anaitgames Pero creo que no había muchos proyectos mas espanyoles, no?

delawen

Deberíamos hablar con propiedad: no ha sido hackeado, ha sido crackeado.

D

#9 El negativo ha sido porque siempre que hay una noticia así hay alguien que dice lo mismo, no he podido evitarlo. Además, no es correcto, el término sería blackhacker. Los crackers son los que hacen reversing de binarios y luego se saltan protecciones de seguridad.

D

Pos que bien, yo soy patrón de esa web...

D

Pregunta: por qué?

thorin

Vaya, me siento mal por la gente que lo utilizaba para financiar pequeños proyectos online. Me parecía una buena vuelta al crowfunding.

#12 Es un sistema de donaciones, así que será por el dinero.

D

#22 Crees que sobrevivirá como plataforma? sería una pena que desapareciese.

D

Se ha puesto de moda eso de dejarse hackear para ganar relevancia en los medios.

D

Seguro que eso también es un campo de nabos.