#62:
si algo merece una respuesta ASAP de los @admin imagino que es esto.
#74:
#53 La proxima vez que sientas que vas a escribir algo asi de borde alejate del teclado y vete a dar una vuelta.
#105:
#2#39 He leído que pide 200 euros. O sea, a 50 pavos por barba... Demasiado caro, por mucho interés que tengan.
#146:
#11 a mí me deja una, son 250.000 líneas y empieza por los primeros usuarios, en concreto por @gallir pero no se ven los últimos de la lista
Igual son cuentas muy antiguas, la mía es de más de 10 años y si el ID numérico es correlativo, haciendo una regla de con el número de filas (esquina inferior derecha de la captura) me sale que el hack sería de 2014 si se hubiera mantenido el ritmo de creación de cuentas de los dos primero años
#121:
#67 Quién ha hablado de SHA256? el campo user_pass es un varchar que puede tener un SHA256 o cualquier otra tipo de hash. Mira que me he cuidado de no usar y remarcar tachado "desencriptar" sino "recuperar", pero obviamente esperaba que alguien dijera lo de "no se puede desencriptar".
Hay bases de datos de hashes, son comunmente conocidas.
Vete a cualquier registro que no tenga contraseña SHA256 (el primero que aparece, que tiene user_id 5, por ejemplo). Copias el string de user_password, te vas a cualquier página de base de datos de hashes y lo pones. https://hashes.com/
Te la RECUPERA en menos de un segundo, como dije.
#47:
#41 Ah, ¿es que os habéis registrado con vuestra cuenta personal?
Siempre que puedo, me registro con el típico correo de hotmail de hace 20 años que no entro nada más que para recuperar contraseñas olvidadas/bloqueadas.
#2 Decían que era para enviarnos unos mariachis.
Con los usuarios que tienen solo han recogido para grabarnos un CD pirata de rancheras y enviarlo por correo ordinario.
#2 No hace falta. Las brechas de seguridad son inversamente proporcionales a la bolsa de cacahuetes con la que pagan a los "nuevos" (y "excelentes") programadores.
#17 Pues ahora hay ciertos usuarios que tendrán que cambiar no solo la contraseña, sino también de cuenta de correo. Por ejemplo uno cuyo nombre empieza por G y termina por R.
#32 Gallir ya tiene su email público en su página web, así que por hackear la base de datos mysql de menéame averiguas muchas cosas pero no su email que ya era conocido:
#17 la contraseña da igual. Tienen tu email para subscribirte a mil sitios de spam. En cualquier caso parece un dump de la base de datos. No quiere decir que pudieran hackear el site... O que tengan nada más relevante que una captura de pantalla
#41 Ah, ¿es que os habéis registrado con vuestra cuenta personal?
Siempre que puedo, me registro con el típico correo de hotmail de hace 20 años que no entro nada más que para recuperar contraseñas olvidadas/bloqueadas.
#47 Hay scripts para probar si un identificador (como puede ser una dirección de correo) está de alta en otros servicios.
Spam no vas a recibir en tu cuenta personal, pero ya saben tu cuenta de de correo y que está dada de alta en otros servicios. Perfecto para un ataque de phishing.
#47 Lo suyo es que todo el mundo tuviera cierta "compartimentalización" en el correo que recibe y cómo lo recibe, hasta me recuerdo lo de Ashley Madison, y la cagada de que muchos se registren con cuentas oficiales del gobierno.
#52 no sé cómo es la arquitectura de esto. En las aplicaciones en las que trabajo los usuarios no tienen capacidad de hacer un dump de la db. No suele estar la app en la misma máquina que la db y es imposible que un usuario de la app pueda hacer un dump o conectarse a la máquina de base de datos para eso. Incluso, en el caso de hacerse con credenciales es bastante improbable que pudiera hacerlo desde fuera de la red
#71 Pues imagino que tienen Aurora de AWS para la DB en una subnet, instancias EC2 tras un balanceador simple o un WAF y la conexión entre las instancias EC2 y la DB autenticada con roles sin ningún tipo de clave. Aunque también deben tener VPN directa a esas subnets o máquinas de bastión para conectar a la DB directamente, por lo que pueden haber entrado por varios sitios.
#9 pues pensaba que era un fake ya que si miras la base de datos de meneame, ni tiene la tabla accounts ( se usa la tabla users) ni usan varchar(256) para todo. meneame.net
parece que es una tabla temporal sobre la que se han insertado los datos para hacer un dump de la tabla, tiene poco sentido pero podría ser que usasen esta tabla para hacer un dump por tema de permisos, en lugar de usar la original.
El uso de "" también es mas que raro en lugar del "" o NULL cuando en la base de datos esta por defecto en NULL.
En un principio pensé que se habían ido a las primeras noticias de meneame y sacado un listado de usuarios con los que generar los datos **Pero**
hay un usuario sin comentarios ni actividad, ni nombre de usuario común, con lo que no es posible saber de su existencia sin ver la BBDD o ser un insider , que si aparece en el twit, en particular es: @provella
#82
El fulano ese, #68, dice que somos la misma persona. Supongo que será porque él tiene varios perfiles.
Apuesto a que si revisamos tu historial y el mío, habrá algún comentario coincidente en el tiempo, lo que invalida la acusación/bulo de #68.
Oye, después de esto, pídeme al menos amistad. Es lo suyo, ¿No? Me refiero a #82, no al repartidor de bulos.
CC #77
Las IPs están para algo. Los admin pueden revisarlas.
#24 Utilizan el logo de "Ciudadanos para el desarrollo europeo de Bulgaria"
Si se busca "Кмета На Европа" el único resultado preciso lleva a un canal búlgaro y a un vídeo en Bulgaria.
Vamos, que lo de siempre. "Putin y los rusos se comieron mis deberes y violaron a mi gato". Por no molestaros, ni os molestáis en indagar un poco. Veis algo en cirílico y dais por hecho que es ruso. Y luego creéis saber la diferencia entre ucranianos y rusos...
#73 No, de esta semana, no. En total, en los últimos doce años, he tenido cuatro cuentas. Y la última la borré porque me enfadé después de que me penalizaran por informar a otro usuario de que era un idiota.
#16 dices "como mucho" como si fuera poco. Con el email te logueas en cantidad de sitios, y la gente que usa la misma contraseña en todas partes, con el peligro que tiene, es mayoría.
#6 salvo que alguien ponga datos reales (nombre, ...) sobre todo, las IPs habituales desde las que conectas y la identificación del tipo de equipo y navegador que usas
Poca broma con esto, está expuesta la password, aunque sea un hash. A poco segura que sea (y hablo de algo tipo "a6kd3fm2" por ejemplo) se desencripta recupera en menos de un segundo...
#67 Quién ha hablado de SHA256? el campo user_pass es un varchar que puede tener un SHA256 o cualquier otra tipo de hash. Mira que me he cuidado de no usar y remarcar tachado "desencriptar" sino "recuperar", pero obviamente esperaba que alguien dijera lo de "no se puede desencriptar".
Hay bases de datos de hashes, son comunmente conocidas.
Vete a cualquier registro que no tenga contraseña SHA256 (el primero que aparece, que tiene user_id 5, por ejemplo). Copias el string de user_password, te vas a cualquier página de base de datos de hashes y lo pones. https://hashes.com/
Te la RECUPERA en menos de un segundo, como dije.
#67 Por la pinta del volcado las hay en SHA256 que empiezan por "sha256:xxxxxx" pero el resto parece md5, probablemente propio de cuentas antiguas antes de que la web se modernizara.
#11 a mí me deja una, son 250.000 líneas y empieza por los primeros usuarios, en concreto porgallir pero no se ven los últimos de la lista
Igual son cuentas muy antiguas, la mía es de más de 10 años y si el ID numérico es correlativo, haciendo una regla de con el número de filas (esquina inferior derecha de la captura) me sale que el hack sería de 2014 si se hubiera mantenido el ritmo de creación de cuentas de los dos primero años
Es una estrategia de guerra, es parte del ataque a los gasoductos, primero atacan las tuberías y después a la opinión pública a través del canal de información "más fiable" de éste país, el mundo y la galaxia.
Cerrad vuestros ojos por que mañana seguro que creeréis que Rusia debe ganar la guerra e incluso invadir toda Europa.
#92 md5 no es bueno, sha256 es mas seguro en teoria, desconozco si usaron una "sal" https://es.wikipedia.org/wiki/Sal_(criptograf%C3%ADa) al crearlos, pero por el enlace de git que han puesto mas arriba para la tabla, no parece.
Los hashes como md5 estan deprecados porque ya se han logrado colisiones, no hay que usarlos para almacenar autenticación.
Sha256 es seguro en teoria, pero su función es ser eficiente en sacar un digest sobre el texto a hashear, por lo que es "rápido" para ataques de fuerza bruta.
La mejor soluciíón es saltear los paswords y usar un algoritmo creado especificamente para passwords, como Argon2.
Saltear el hash, es decir, añadir una cadena conocida a la contraseña a cifrar que se almacena a parte, evita que se puedan usar tablas precalculadas de hashes.
Algoritmos como Argon2 están pensados para hashear passwords, en ved de eficientes son costosos, de forma que dificultan muchisimo ataques de fuerza bruta.
El problema es que pueden comparar el dump con tablas de hashes conocidos y obtener la contraseña que genera el hash si no estaba salteada, o incluso en el caso de md5 obtener un password equivalente aun estando salteada encontrando una colision (bastante dificil).
Comentarios
En mediatize han hecho una colecta.
#2 Los van a meter en su base de datos, para ver si finalmente alguien se anima a ir.
#2 #39 He leído que pide 200 euros. O sea, a 50 pavos por barba... Demasiado caro, por mucho interés que tengan.
#2 Esos de mediatice son los mismos de MNM. una burda estrategia
#2 Decían que era para enviarnos unos mariachis.
Con los usuarios que tienen solo han recogido para grabarnos un CD pirata de rancheras y enviarlo por correo ordinario.
#2 No hace falta. Las brechas de seguridad son inversamente proporcionales a la bolsa de cacahuetes con la que pagan a los "nuevos" (y "excelentes") programadores.
Con esa resolución la imagen podría ser la alineación de la selección de hóckey patines de Armenia.
#3 Hay un campo de la tabla (el octavo) que claramente se llama user_karma, y
Es esta tabla: meneame.net
#3
aqui se ve mejor
#9 Bastante mejor, gracias.
#9 Cambiando contraseña en 3, 2, 1...
#17 ya no me vale el 1234miscojones
#25 Ahora será miscojones33
#25 1234&mis.cojonesMorenos
#28 Eso si que es una contraseña segura! 🏆
#28 Mamones. Me estáis dejando sin opciones
#17 Pues ahora hay ciertos usuarios que tendrán que cambiar no solo la contraseña, sino también de cuenta de correo. Por ejemplo uno cuyo nombre empieza por G y termina por R.
#32 Gallir ya tiene su email público en su página web, así que por hackear la base de datos mysql de menéame averiguas muchas cosas pero no su email que ya era conocido:
https://gallir.wordpress.com/about/
#48 Vaya hombre... a ver si también pone donde tiene aparcado el Ferrari
#55 Aquí saldrá
#48 más bien lo que dice #45
Pero hay algunos servicios de reverse lookup que almacenan un montón de hashes con su equivalencia y a veces suena la flauta
#32 si es una cuenta que no usas no hay motivo.
#17 la contraseña da igual. Tienen tu email para subscribirte a mil sitios de spam. En cualquier caso parece un dump de la base de datos. No quiere decir que pudieran hackear el site... O que tengan nada más relevante que una captura de pantalla
#41 Ah, ¿es que os habéis registrado con vuestra cuenta personal?
Siempre que puedo, me registro con el típico correo de hotmail de hace 20 años que no entro nada más que para recuperar contraseñas olvidadas/bloqueadas.
#47 gracias por compartir tu experiencia. Eres un héroe para los que le importa una cagada de paloma tu historia
#53 La proxima vez que sientas que vas a escribir algo asi de borde alejate del teclado y vete a dar una vuelta.
#53 tiene razón, lo ha hecho bien y tú no, no te piques.
#47 Hay scripts para probar si un identificador (como puede ser una dirección de correo) está de alta en otros servicios.
Spam no vas a recibir en tu cuenta personal, pero ya saben tu cuenta de de correo y que está dada de alta en otros servicios. Perfecto para un ataque de phishing.
#47 Lo suyo es que todo el mundo tuviera cierta "compartimentalización" en el correo que recibe y cómo lo recibe, hasta me recuerdo lo de Ashley Madison, y la cagada de que muchos se registren con cuentas oficiales del gobierno.
#47 Nunca jamás con una cuenta real. Eso ni de broma.
#41 y dime, como haces el dump de todos los datos, sin la pass de la bbdd.
porque el mail o los permisos no son algo público.
#52 por telepatía computacional, es un nuevo servicio de Amazon Web Sevices.
#63 debe ser de los caros
#52 no sé cómo es la arquitectura de esto. En las aplicaciones en las que trabajo los usuarios no tienen capacidad de hacer un dump de la db. No suele estar la app en la misma máquina que la db y es imposible que un usuario de la app pueda hacer un dump o conectarse a la máquina de base de datos para eso. Incluso, en el caso de hacerse con credenciales es bastante improbable que pudiera hacerlo desde fuera de la red
#71 pues desde dentro de la red... hackeo
#71 Pues imagino que tienen Aurora de AWS para la DB en una subnet, instancias EC2 tras un balanceador simple o un WAF y la conexión entre las instancias EC2 y la DB autenticada con roles sin ningún tipo de clave. Aunque también deben tener VPN directa a esas subnets o máquinas de bastión para conectar a la DB directamente, por lo que pueden haber entrado por varios sitios.
#93 no pillo lo de las vpn. No las usaría pero pillo la idea
#93 he leído hasta el final para saber si te lo estabas inventando (por tanta sigla y tal). Como si hubiera leído un texto en alemán del siglo IV.
#93 Si tuviesen todo eso no hay dios que entre porque no se te entiende nada.
#71 El término "Dump" no sólo se aplica a hacer un MySQLdumo, se aplica a cualquier volcado de tablas.
Puedes tener un error en el código de la que te permita hacerlo, que suele ser lo normal.
#96 cierto. Eso podría ser pero... Un buen bug
#98 sqli de libro
#71 Los usuarios no, pero el programador si. Sólo hay que inyectar el código adecuado.
#52 sqli
#52 Con una inyección SQL.
#52 Inyectando código. Si consigues meter una función que lhaga un dump de la lista de usuarios y ejecutarla, ya lo tienes.
En entornos PHP es relativamente habitual. Es el vector de entrada más común en los wordpress.
#52 hay bastantes maneras muy divertidas de realizar sqlinjections...
#17 ese campo parece que lo tienen encriptado, al menos en la captura de pandalla
#17 md5 no es muy seguro, pero cifrado sha256, si lo es (me quito el sombrero)
#17 ya te da igual, la vieja la tienen.
#17 Ya la he cambiado.
#17 ¿Para qué? Con ua de clones que hay, incluso con karma imposible para un uso normal, ¿quien va a pagar por un usuario?
#9 contraseña y correos cambiados mil gracias.... joder con los lunes....
#84 no corras que si no parchean la vulnerabilidad no te sirve de nada cambiar
#84 esta tarde viendo el mapa de bitdefender en la pantalla de enfrente toda la tarde infecciones cada 1 segundo o menos...
#9 Aquí muchos van de antisistema pero luego todo dios usa gmail
#9 me encanta el tipo que pide la imagen a mejor resolución... para luego quejarse de que la pongan en público porque hay datos privados.
#9 user_karma un varchar?? y de 255??
#9 ¿esa captura es un sample o es alguien que la tiene ya full? (aparte del atacante obviamente)
#9 pues pensaba que era un fake ya que si miras la base de datos de meneame, ni tiene la tabla accounts ( se usa la tabla users) ni usan varchar(256) para todo.
meneame.net
parece que es una tabla temporal sobre la que se han insertado los datos para hacer un dump de la tabla, tiene poco sentido pero podría ser que usasen esta tabla para hacer un dump por tema de permisos, en lugar de usar la original.
El uso de "" también es mas que raro en lugar del "" o NULL cuando en la base de datos esta por defecto en NULL.
En un principio pensé que se habían ido a las primeras noticias de meneame y sacado un listado de usuarios con los que generar los datos
**Pero**
hay un usuario sin comentarios ni actividad, ni nombre de usuario común, con lo que no es posible saber de su existencia sin ver la BBDD o ser un insider , que si aparece en el twit, en particular es:
@provella
así que ... cambien su password ya.
cc #11
#9 solo piden 200$ por la lista...
#3 de hecho creo que es justo eso.
si algo merece una respuesta ASAP de los@admin imagino que es esto.
#62 ya han editado la entradilla con la respuesta
A mi, hace un rato me salía error 404 y debajo la frase "te lo avisamos".
#5 A mi también, he flipado un poco.
#5 En menéame, de toda la vida, había un mensaje de error que decía "menéame Peta" (como si fuera Beta), y "te lo avisamos", o algo similar...
PD: Vamos, el que se ve aquí...
@Charles_Dexter_Ward
#5 Como dice #94, eso que dices es el error 404 normal de menéame de toda la vida:
https://www.meneame.net/404.html
No se yo, almenos la captura que han puesto sale gallir como rango 'god' y ya hace años que se vendió menéame. Que esto no sea una filtración antigua.
#43 del propio gallir, al precio que está la gasolina, a ver como llena el deposito del ferrari
#43 El 8.19 al lado del nombre coincide con su karma actual.
#43 O que no hayan cambiado el estatus de su cuenta.
#49 pues entonces sólo tienen que abrir la cripta y sacarlas
Parece que son rusos...
HackerRuso cuéntanos más
#24 pregúntaselo a su cuenta principal,@beltenebros.
#68 Cómo lo sabes? A mi durante un tiempo un tipo me acusaba de usar varias cuentas y sólo tengo una...
#82
El fulano ese, #68, dice que somos la misma persona. Supongo que será porque él tiene varios perfiles.
Apuesto a que si revisamos tu historial y el mío, habrá algún comentario coincidente en el tiempo, lo que invalida la acusación/bulo de #68.
Oye, después de esto, pídeme al menos amistad. Es lo suyo, ¿No? Me refiero a #82, no al repartidor de bulos.
CC #77
Las IPs están para algo. Los admin pueden revisarlas.
#77
Si me permites un consejo:
No hagas caso a los trols.
#68 me parto
beltenebros
#82 Lo mío era un comentario jocoso por el contenido de la noticia y tú nick... Un chiste fácil y en ningún caso una acusación formal.
#82
Gracias por avisarme.
#68
Reportado por bulo.
#68 #24 Habeis invocado sin querer a todos los clones
#24 Sí, sí...
HackerRuso, sal por las buenas, antes de que el agenteN1kon3500 del FBI mueva a sus secuaces yanquinejos.
#24 Utilizan el logo de "Ciudadanos para el desarrollo europeo de Bulgaria"
Si se busca "Кмета На Европа" el único resultado preciso lleva a un canal búlgaro y a un vídeo en Bulgaria.
https://en.wikipedia.org/wiki/GERB
Vamos, que lo de siempre. "Putin y los rusos se comieron mis deberes y violaron a mi gato". Por no molestaros, ni os molestáis en indagar un poco. Veis algo en cirílico y dais por hecho que es ruso. Y luego creéis saber la diferencia entre ucranianos y rusos...
cc/HackerRusoBeltenebrosaironman #91
No sé que me duele más, los datos expuestos o que todos los campos de la base de datos sean VARCHAR
#37 Varchar, obviamente...
Nos han hakiado?
#12 crakiado
#12 ¿Ustedes creen que los puedan jaquiar?
Clave cambiada por si las moscas,@admin convendría que regeneraseis la clave api no? o se regenera con el cambio de clave
Sí, es un hackeo. Cuando intento entrar me sale esto... Pero creo que he identificado a los culpables...
#20 El día que pidan re-confirmar el email asociado a cada usuario, Menéame pierde un montón de cuentas
Yo utilicé un mail de guerrilla, temporal, para registrarme
#42 Y que lo digas, las cuentas que uso eran temporales o en servidores que hace años que no existen. Seria una putada
No debería haber usado mi email "enano_cachondo69@hotmail.com".
Ahora lo va a ver todo el mundo.
#34 Y ahora también sabemos que eres un varón bajito de pelo blanco, en torno a 53 años, que vive en Chueca y está salido...
#20 el mio es ;drop database users;--gmail.com
#40 Pobre Bobby Tables... que incoprendido
Yo lo veo bastante "legit", en el registro de la cuenta de Gallir pone que es "god"
#33 a saber de cuando es, ahora el god es dseijo
#58 solo puede haber un god? bien puede ser que haya varios y a gallir lo hayan mantenido porque es el god autentico en caso de problema gordo.
#66 ¿solo hay un god verdadero y va en ferrari?
#19 y tb quien es admin
¿Datos personales? ¿Qué datos personales?
#6 El email y la dirección IP asociada a un nombre de usuario.
#14 El email que utilizo es una dirección 'falsa' que solo utilizo para Menéame así que...
#20 Normal que sea de usar y tirar.... para hacer clones.... Tu cuenta tiene dos días.
#46 Todas las cuentas han tenido dos días en algún momento.
#64 Pero esta no es tu primera cuenta, que eso era lo que señalaba. Esta es tu cuenta de esta semana.
#73 No, de esta semana, no. En total, en los últimos doce años, he tenido cuatro cuentas. Y la última la borré porque me enfadé después de que me penalizaran por informar a otro usuario de que era un idiota.
#14 joder... que chungo.
#6 Como mucho el email
#16 dices "como mucho" como si fuera poco. Con el email te logueas en cantidad de sitios, y la gente que usa la misma contraseña en todas partes, con el peligro que tiene, es mayoría.
#26 el password solo tienen el hash -
#45 #6 Es que estaría cojonudo que estuvieran ahí como texto plano
#97 pues eso, que sin el dato en texto plano tampoco es que se pueda hacer mucho ... vender las direcciones de correo para spam...
#45 A los que tienen md5 es como si estuviera en texto plano.
#45
> solo tienen el hash
El hash siendo md5:
#26 Las contraseñas están encriptadas.
#49 mírate lo que son Rainbow tables
#100 Sé lo que son.
#16 me acabo de dar cuenta que el email con el que me registré en Menéame allá por el pleistoceno es de ozú. DE OZÚ!!!!
A ver quién es el guapo que recupera las claves enviadas a un dominio que ya no existe
#6 salvo que alguien ponga datos reales (nombre, ...) sobre todo, las IPs habituales desde las que conectas y la identificación del tipo de equipo y navegador que usas
#6 Se pueden hacer bastantes análisis por ejemplo de multicuentas ya que la gente es muy cenutria y tendrá en todos sus bots con la misma contraseña.
#6 los de la tarjeta de crédito para el meneame premium.
Hay que darle total credibilidad a este tuiter. Si alguien lo publicado ahí es que tiene que ser cierto.
¿La cuenta premium está segura?
#31 si te fijas,gallir tiene la cuenta modo "GOD" a saber de cuando es la tabla.
#57 Puede ser parte del acuerdo de venta.
#57, igual es emérito.
Poca broma con esto, está expuesta la password, aunque sea un hash. A poco segura que sea (y hablo de algo tipo "a6kd3fm2" por ejemplo) se
desencriptarecupera en menos de un segundo...#54 No tienes ni idea de SHA256 si dices eso.
#67 Quién ha hablado de SHA256? el campo user_pass es un varchar que puede tener un SHA256 o cualquier otra tipo de hash. Mira que me he cuidado de no usar y remarcar tachado "desencriptar" sino "recuperar", pero obviamente esperaba que alguien dijera lo de "no se puede desencriptar".
Hay bases de datos de hashes, son comunmente conocidas.
Vete a cualquier registro que no tenga contraseña SHA256 (el primero que aparece, que tiene user_id 5, por ejemplo). Copias el string de user_password, te vas a cualquier página de base de datos de hashes y lo pones.
https://hashes.com/
Te la RECUPERA en menos de un segundo, como dije.
Y en SHA256? mi contraseña aquí era Reagan2256 (ya la ha cambiado).
Aquí la saca en cero coma: https://md5decrypt.net/en/Sha256
Y no, no tengo ni idea de SHA256, solo pico teclas al azar.
#67 Por la pinta del volcado las hay en SHA256 que empiezan por "sha256:xxxxxx" pero el resto parece md5, probablemente propio de cuentas antiguas antes de que la web se modernizara.
cc #35 #92
#54 un hash no es una contraseña, puedes calcular el hash de un CD pero sólo con el hash no puedes obtener de vuelta el CD
#88 Pero puedes saber qué CD es. O qué password es.
#54 como sois los que tenéis ordenadores cuánticos, siempre fardando de vuestras cosas.
#90 Hay un montón de cryptomineros que ahora no tienen nada que hacer con su hardware.
#54 Y además se ve que hay varios tipos de hashes
Yo lo que veo más comprometedor son los mensajes privados. Los datos que se puedan haber enviado unos usuarios a otros ¿Fotos? Etc.
Voy a ir cambiando cuenta de correo y clave...
#59 no borréis las fotopollas que me habéis enviado, porfas.
#89 Da igual, se han erigido en dominio público después de esto ....
#89 #59 Ya te digo, si tienen la tabla "accounts" tienen todas la tablas de la Base de Datos
#89 lo que faltaba, encima es una vaga que ni hace copias.
Qué alguien avise en el Notame... porque los@admin serán los últimos en enterarse.
No esta confirmado, lo envío para ver si alguien más sabe algo.
#1 corrige el titular!
#10 hecho
#1 creo que la captura de pantalla no deja muchas dudas.
#11 a mí me deja una, son 250.000 líneas y empieza por los primeros usuarios, en concreto porgallir pero no se ven los últimos de la lista
Igual son cuentas muy antiguas, la mía es de más de 10 años y si el ID numérico es correlativo, haciendo una regla de con el número de filas (esquina inferior derecha de la captura) me sale que el hack sería de 2014 si se hubiera mantenido el ritmo de creación de cuentas de los dos primero años
#1 https://breached.to/Thread-Selling-meneame-net-2022-257k-users?highlight=meneame
#1 Ni falta que hace. Menéame lleva meses hackeado por los rusos...
Por lo que veo venden la base de datos... les doy 1€ y me estoy arriesgando
#30 pues pide 200€, no muy caro
#51 ¡Dame dos!
Ah ok.
pues a borrar user.
uf maricón, gracias por el aviso. Clave cambiada (la que google me ha sugerido )
Es una estrategia de guerra, es parte del ataque a los gasoductos, primero atacan las tuberías y después a la opinión pública a través del canal de información "más fiable" de éste país, el mundo y la galaxia.
Cerrad vuestros ojos por que mañana seguro que creeréis que Rusia debe ganar la guerra e incluso invadir toda Europa.
Yo vengo aqui a despotricar y decir tontadas desde el seguro anonimato ¿Que pasa con los datos robados?
#29 Como suelen decir por aquí no te los han robado, los sigues teniendo en el mismo sitio, solo los han copiado que no es robar
#38 Me dejas mas tranquilio
dseijo paga las 5000 pesetas de whisky. Primer aviso.
Por que no usaran un hash pensado para passwords, este gallir se la daba de bueno...
#35 Desde el desconocimiento, pone que han usado "MD5 + SHA2-256 50/50 Mix".
¿Eso no es bueno?
#92 md5 no es bueno, sha256 es mas seguro en teoria, desconozco si usaron una "sal" https://es.wikipedia.org/wiki/Sal_(criptograf%C3%ADa) al crearlos, pero por el enlace de git que han puesto mas arriba para la tabla, no parece.
Los hashes como md5 estan deprecados porque ya se han logrado colisiones, no hay que usarlos para almacenar autenticación.
Sha256 es seguro en teoria, pero su función es ser eficiente en sacar un digest sobre el texto a hashear, por lo que es "rápido" para ataques de fuerza bruta.
La mejor soluciíón es saltear los paswords y usar un algoritmo creado especificamente para passwords, como Argon2.
Saltear el hash, es decir, añadir una cadena conocida a la contraseña a cifrar que se almacena a parte, evita que se puedan usar tablas precalculadas de hashes.
Algoritmos como Argon2 están pensados para hashear passwords, en ved de eficientes son costosos, de forma que dificultan muchisimo ataques de fuerza bruta.
El problema es que pueden comparar el dump con tablas de hashes conocidos y obtener la contraseña que genera el hash si no estaba salteada, o incluso en el caso de md5 obtener un password equivalente aun estando salteada encontrando una colision (bastante dificil).