Portada
mis comunidades
otras secciones
#1:
"Queremos transmitiros tranquilidad porque este problema solo afecta a unos cuantos usuarios (un 17,43%)"
Me quedo mas tranquilo, solo afecta a uno de cada cinco usuarios
En breve tu cuenta en : https://haveibeenpwned.com/
Me quedo mas tranquilo, solo afecta a uno de cada cinco usuarios
En breve tu cuenta en : https://haveibeenpwned.com/
#4:
Enviad un mail a los afectados, si sabéis quiénes son ( somos)
#45:
#31 No, si lo han implementado correctamente (como es probable) puesto que necesitarían tener las keys oauth de meneame y enviar las peticiones de login desde la dirección que meneame a dado de alta en el oauth.
Basicamente cuando meneame "hace" login contra google lo que hace es mandarle unas claves (que son de la plataforma, no es una password de user) a un servidor de google desde una dirección concreta, por ejemplo oauth.meneame.net, eso lo que hace es que google te muestra a ti, nunca a la plataforma, la pantalla de login de google y tu haces login en google, una vez has hecho el login correcto contra google este le responde que el user es valido o no a meneame en donde este le haya dicho como por ejemplo oauth.meneame.net/callback. ¿Que significa todo esto? que un atacante tiene que controlar muchos elementos en vivo para poder robar una sesion OAuth puesto que la password en si jamas pasa por meneame.
Basicamente cuando meneame "hace" login contra google lo que hace es mandarle unas claves (que son de la plataforma, no es una password de user) a un servidor de google desde una dirección concreta, por ejemplo oauth.meneame.net, eso lo que hace es que google te muestra a ti, nunca a la plataforma, la pantalla de login de google y tu haces login en google, una vez has hecho el login correcto contra google este le responde que el user es valido o no a meneame en donde este le haya dicho como por ejemplo oauth.meneame.net/callback. ¿Que significa todo esto? que un atacante tiene que controlar muchos elementos en vivo para poder robar una sesion OAuth puesto que la password en si jamas pasa por meneame.
#22:
Para los que hayan cambiado su email en MNM a posteriori porque no querían que su email "bueno" estuviera en esta web, que sepáis que se mantiene y se guardan los dos: email y email_register 
#17:
#11 Eso lo ponía la captura: nombre de usuario, correo y hash de la contraseña. Lo más crítico es el hash, porque probablemente hay gente que reutiliza la contraseña. De ahí no se saca directamente, según lo fuerte que sea puede que lleve algún tiempo. Primero pasaran por la lista de contraseñas comunes a ver que pillan y se irá aumentando el nivel de crackeo.
Así que todo el mundo a cambiar la contraseña a la de ya. Y no solo aquí, si es que la reutilizáis en más sitios.
Así que todo el mundo a cambiar la contraseña a la de ya. Y no solo aquí, si es que la reutilizáis en más sitios.
#47:
ni un puto lo siento? ni un puto perdón porque no hemos sabido proteger vuestra privacidad?
Que funcione la web mal es aceptable.... pero estas cosas son de vergüenza. Y no es que habéis salido al minuto uno a decirlo... no, horas (o días o semanas) después y venís con estas?
este problema solo afecta a unos cuantos usuarios ......................................
Que funcione la web mal es aceptable.... pero estas cosas son de vergüenza. Y no es que habéis salido al minuto uno a decirlo... no, horas (o días o semanas) después y venís con estas?
este problema solo afecta a unos cuantos usuarios ......................................
#39:
"Análisis y medidas que hemos tomado"
Ingenuo de mí he entrado esperando un artículo explicando cómo ha sido y las medidas técnicas tomadas para evitarlo en un futuro. No hacía falta que fuera algo extremadamente informativo (como hizo Cloudflare, por ejemplo) pero esto...
¿Resetear las contraseñas? No me lo esperaba.
Ingenuo de mí he entrado esperando un artículo explicando cómo ha sido y las medidas técnicas tomadas para evitarlo en un futuro. No hacía falta que fuera algo extremadamente informativo (como hizo Cloudflare, por ejemplo) pero esto...
¿Resetear las contraseñas? No me lo esperaba.
#13:
A mi no me miréis, eh. Parece que son búlgaros.
#73:
Mi no veo nada rrarro en mia kuenta. Mia kuenta funsiona perrfektamenta.
да здравствует матушка россия!!!
да здравствует матушка россия!!!
Comentarios
"Queremos transmitiros tranquilidad porque este problema solo afecta a unos cuantos usuarios (un 17,43%)"
Me quedo mas tranquilo, solo afecta a uno de cada cinco usuarios
En breve tu cuenta en : https://haveibeenpwned.com/
Enviad un mail a los afectados, si sabéis quiénes son ( somos)
#4 #7 Asi como dejar claro que tipos de datos son los que se han filtrado. Logs de acceso, IPs, email, passwords. La sensitividad de esos datos puede ser muy diferente.
Y ya si haceis un post-morten publico seria aun mejor. Hace falta ser mas transparente.
@admin
#0 Habéis notificado a los usuarios afectados por mensaje privado?
#9 Si empiezo a hablar bien de Putin sospechad...
17,43% no es poca broma.
#5 Traslado la pregunta a@admin y
patchgirl, que yo solo he enviado la entrada.
Cc/ #4
#31 No, si lo han implementado correctamente (como es probable) puesto que necesitarían tener las keys oauth de meneame y enviar las peticiones de login desde la dirección que meneame a dado de alta en el oauth.
Basicamente cuando meneame "hace" login contra google lo que hace es mandarle unas claves (que son de la plataforma, no es una password de user) a un servidor de google desde una dirección concreta, por ejemplo oauth.meneame.net, eso lo que hace es que google te muestra a ti, nunca a la plataforma, la pantalla de login de google y tu haces login en google, una vez has hecho el login correcto contra google este le responde que el user es valido o no a meneame en donde este le haya dicho como por ejemplo oauth.meneame.net/callback. ¿Que significa todo esto? que un atacante tiene que controlar muchos elementos en vivo para poder robar una sesion OAuth puesto que la password en si jamas pasa por meneame.
Para los que hayan cambiado su email en MNM a posteriori porque no querían que su email "bueno" estuviera en esta web, que sepáis que se mantiene y se guardan los dos: email y email_register
A mi no me miréis, eh. Parece que son búlgaros.
#16 Según ellos son solo "unos cuantos usuarios"
Bonita forma de comenzar a gestionar una crisis de seguridad tan seria.
#11 Eso lo ponía la captura: nombre de usuario, correo y hash de la contraseña. Lo más crítico es el hash, porque probablemente hay gente que reutiliza la contraseña. De ahí no se saca directamente, según lo fuerte que sea puede que lleve algún tiempo. Primero pasaran por la lista de contraseñas comunes a ver que pillan y se irá aumentando el nivel de crackeo.
Así que todo el mundo a cambiar la contraseña a la de ya. Y no solo aquí, si es que la reutilizáis en más sitios.
"Análisis y medidas que hemos tomado"
Ingenuo de mí he entrado esperando un artículo explicando cómo ha sido y las medidas técnicas tomadas para evitarlo en un futuro. No hacía falta que fuera algo extremadamente informativo (como hizo Cloudflare, por ejemplo) pero esto...
¿Resetear las contraseñas? No me lo esperaba.
#1 Ahora los hakers tienen el poder de escribir en meneame con las cuentas robadas
Mi no veo nada rrarro en mia kuenta. Mia kuenta funsiona perrfektamenta.
да здравствует матушка россия!!!
ni un puto lo siento? ni un puto perdón porque no hemos sabido proteger vuestra privacidad?
Que funcione la web mal es aceptable.... pero estas cosas son de vergüenza. Y no es que habéis salido al minuto uno a decirlo... no, horas (o días o semanas) después y venís con estas?
este problema solo afecta a unos cuantos usuarios ......................................
#98 Tan gratos para conversar.
Ehh, cuando me vayáis a poner un strike, han sido los jaquers, yo no he hecho ese comentario
#5 Seria lo suyo que así lo hicieran.
CC: #4
#40 ¡Qué bulgares!
#14 El hackeo parece provenir de Bulgaria.
Mis comentarios sobre el pueblo elegido, eran broma, sois mi pueblo favorito y soy vuestro mayor admirador, hay trabajos más importantes para Pegasus
#40 Hace tiempo mi vecina quiso enseñarme el búlgaro.
Lo dejé en cuanto me enteré que era un idioma.
Para más chistes de rabiosa actualidad, llamar al 623871628467
Putin está detrás! Seguro!
#13 Que, no Putin, que no nos engañan, esto es como lo del Nord Stream, han sido ellos para luego echarte a ti la culpa
#33 Con lo que peta menéame tiene mérito que hayan conseguido que una de cada cinco peticiones no les diera error
Genial, soy uno de los premiados
Oh no — pwned!
Pwned in 1 data breach and found no pastes (subscribe to search sensitive breaches)
¿Podríais aprovechar y entre esas medidas colar el cambiar el favicon por defecto de wordpress?
#16 es que han pagado los 200$ para saber lo que les habían chorizado. Y se habrán enterado cuando ha llegado a portada 😅
#9 si veis que empiezo a mandar noticias que hablen bien de Qanon sospechar
De ese 17,4 el 90% son clones
#32 Por mí, encantado. Me prepararé unas palomitas para ver cómo te metes tus acusaciones por donde no da el sol.
cc/@HackerRuso
#17 Si sólo tienen el hash y la web está bien diseñada, dicho hash estará "salteado", es decir, se le añade alguna cadena extra antes para hacer inviable usar diccionarios inversos. Si también han conseguido esta "salt" que suele estar en la parte del código y no en la base de datos, facilita las cosas, pero más tiempo y potencia de cálculo van a necesitar que si no.
#11 falso amigo detectado
#18 me han hakeiado la cuenta
#4 eso sería lo más lógico desde el minuto 1
#82 cojo una password, la tiro por el retrete... Y van 2938474738 passwords que el retrete se ha tragado
Es buena costumbre cambiar la contraseña cada cierto tiempo. Lo acabo de hacer. En el trabajo os o lugan a cambiarla cada tres meses (Administración Autónoma). Es un poco tostón, pero hay trucos para recordarla con facilidad.
123456, luego 234567, 345678, etc.
#11 No arreglan los putos Bugs y vas a pedir informática forense...
#17 Yo no me sé la contraseña.
Precisamente ayer la cambie según el modo aleatorio de Keepass.
Y así con todas las demás contraseñas que tengo.
#9 Lo dudo, las contraseñas estan cifradas
Han sido los del "sitio ese"... Estoy seguro.
#1 ostras, el 17% es UN MONTÓN! Creía que habría sido menos grave, madre mía.
#45 #50 Si os interesa estos sistemas hubo otro que venia a sustituir al OpenID, pero creo que ya no cuajo.
Es una pena que no haya una implementacion totalmente libre o servicios que lo ofrezcan.
https://podcast.jcea.es/podcastz/10
Tambien hay mucho "como funciona" de otro sofwares aqui.
https://www.aosabook.org/en/index.html
#15 Una gran parte de esas contraseñas puede romperse muy fácilmente, simplemente probando diccionarios.
Para el resto, hace falta un poco más de esfuerzo.
#30 Te falta practicar la usura con el vecino o en su defecto anexionarte su terraza.
#27 el ataque de los clones
#28 pues a ver si tienen huevos a mirar mi historial
#49 El probema es que hay diccionarios inversos de hash, algunos bastante grandes. Así que si el hash no está bien implementado con medidas adicionales puede ser extremadamente fácil hacerte con un buen puñado de contraseñas, al menos de las relativamente sencillas.
#14 Ya has empezado, no?
#6 yo tiraría a EEUU
#14 Si veis que hago genuflexiones al estilo alcayata o me arrastro besando los pies a Biden, como otros que yo me sé, sospechad...
Pue que el Menéame me de 100€ o 2 botellas de whisky de malta de 15 años en compensacion por el daño.
Para todo lo demás saber que mis datos básicos los debe de tener hasta Putin a esta alturas.
#22 Me pregunto si eso sería compatible con las leyes de protección de datos.
#26 ... que sensitivo te pones
#99 conozco alguien en la administración que su contraseña era pacoAÑOMES, así nunca le marcaba como repetida y era fácil de recordar... Aunque también la sabíamos todos
#63 Eso, "lo habitual", esperemos que esta ocasión sea una de ellas y que no sea trivial.
#106 Eh, tú, pirata. Qué le dices a #14 con mi cuenta? #hadmin !!!
Esto con
gallir no pasaba.
butnot, la puta ardilla, la bruja psicóloga y otros tantos.
Qué vuelva gallir, los avatares cuadrados y ya de paso que regresen@fragedis,
¡Hijos de Putin!
#127 cambiarlo una vez al año no hace daño.
Obligar a cambiarla una vez al año hace mucho daño.
No he dicho que el postit sea más seguro, el postit es lo más inseguro (para ataques locales) pero es la respuesta natural a que te toquen los cojones con peticiones irracionales sobre una contraseña que no hacía falta cambiar para nada ni que llevase símbolos ni que fuera de ...
#136 Aunque hayan robado el hash si está salteado y aunque conozcan el salteado eso implica hacer un ataque por fuerza bruta usuario por usuario. Si la contraseña es mínimamente segura, la mía lo es, la probabilidad de éxito es ridículamente pequeña.
Y si algún día alguien entra en menéame con mi usuario y decide escribir algo en mi nombre o borrar la cuenta o lo que sea pues asumo ese riesgo. A menéame no le perjudica en nada que eso ocurra. Así que aunque me indiquen que mi usuario ha sido afectado (por la hipótesis de número de ID correspondería) no tengo intención de cambiar la contraseña, y si me obligan intentaré volver a poner la misma, y si no me dejan pues me tocarán las pelotas con ello innecesariamente.
#139 Yo solo uso gestor de contraseñas para aquellos sitios donde sus mierdolíticas de inseguridad no me permiten poner mi contraseña (que es una fórmula).
De esta forma puedo entrar en básicamente cualquier sitio donde estoy dado de alta sin tener que llevar encima ni abrir ningún gestor de contraseñas. Y me evito el riesgo que me entren en ese gestor de contraseñas y las tengan todas.
Es habitual que el buscador me envíe a un foro que no conozco de nada pero necesito entrar para ver el resultado de la búsqueda, la mitad de las veces pruebo con mi correo basura (de yahoo) y mi contraseña (la fórmula) y resulta que me registré allí hará una década y obviamente ni me acordaba.
Me parece bien que la gente haya encontrado que la solución del gestor de contraseña les resuelve un problema, me toca las pelotas que algunos incompetentes me pretendan obligar a mí a usar esa misma solución cuando la mía es perfectamente válida.
#99 Obligar a cambiar la contraseña es un error. Como obligar a poner símbolos o establecer una longitud fija. Cuanto más complicado se haga más fácil es que acabe en un postit en el monitor.
#112 Con la GDPR probablemente no. Habla muy claramente de minimización de datos, es decir, recoger la menor cantidad de datos posible para el propósito para el que se necesitan tratar.
#14 Estos ataques en tiempos de franco no pasaban.
#58 #49 Lo habitual es que el hash tenga una sal, por lo que el diccionario no sirve.
La sal es un añadido aleatorio a la contraseña. Sí mi contraseña es 12345 y tiene una sal de 3 cifras, para el sistema la contraseña realmente es 12345/aQ . Los dicciinarios tienen las contraseñas más habituales, tendrán "12345", pero no con la sal aleatoria.
#31 Probablemente no. Los eevgogole no creo que estén afectados.
#66 Supongo que usan una libreria que lo implementa que es mas facil y probado=seguro.
Si han accedido a las sal, tambien pueden probar contraseñas a ver si la descifran, pero cada usuario tendra su sal y aunque haya pass repetidas tiene que rehacer el trabajo.
Se hace para prevenir ataqckes rainbow que dices en #58
Ademas el algoritmo se repite a veces cientos de miles de veces para que el ataque sea mas costoso.
En la wikipedia lo explica bastte bien.
#63 https://en.wikipedia.org/wiki/Salt_(cryptography)
#51 Creo que en el codigo seria la pimienta que añade a la salt para que sea mas dificil que tenga todos los componente para descrifrar la pass.
https://en.wikipedia.org/wiki/Pepper_(cryptography)
#55 Si eres transparente y se ve que trabajas bien aumenta la confianza, si lo que se ve es que no se trabaja bien la confianza disminuye.
#66 Cuando robaron mis datos de LInkedin, la primera de las dos veces, fue porque no tenían implementado la sal y comprometieron mis contraseñas.
Hace más años, unos diez o así, a Adobe le pasó lo mismo y tampoco tenían sal.
Pero debería ser la excepción. Aún así recuerdo cuando una empresa colaboradora de mi trabajo nos empezó un producto que iba a ser nuestro y que íbamos a continuar nosotros. Una de las cositas que hicieron fue el sistema de login, y la contraseña iba en texto plano en la base de datos.
#33 Que comenten lo del 17,43% suena a que los crackers usaron Blind SQL injection, que lleva "su tiempo" y mientras transcurría el ataque lo lograron mitigar. Mediante logs se puede ver el avance del ataque (es decir, por ejemplo los id's de usuarios que se lograron filtrar).
#138 solo una puntualización, me temo que usando los hashes que usan es en realidad bastante sencillo (por mucho salt que usen). MD5 y SHA2 son hashes muy muy rápidos así que si tienes una lista de hashes en local puedes probar colisiones a una velocidad pasmosa (tirando de GPUs). A día de hoy cualquier algoritmo de hash donde no se pueda configurar el tiempo de cálculo, puede considerarse inseguro para almacenar contraseñas.
Estaría bien saber quienes tienen clones a partir de esa lista.
#65 criptobro
#160 Puedes sacar el valor original si tienes suerte, ya que hay infinitos valores originales que darán el mismo hash md5. La página esa solo te puede mostrar una lista limitada.
Pero para el caso de contraseñas no necesitas conocer el valor original, solo uno que dé el mismo hash que la contraseña original que no conoces. Ya que el servicio web tampoco conoce la contraseña original, solo su hash. Y por lo tanto te permitirá entrar.
#14 Ya empezamos con las paranoias
#29 No lo entiendo. Ni que estén cifradas, ni que pueda romperse ese cifrado.
Creía que lo que se almacenaba era un hash de la contraseña, de tal manera que tener ese campo de la base de datos, no serviría de nada, porque el hash, a la inversa, no arroja una única solución.
Pero bueno, cada cual hace lo que quiere con su seguridad, ...
#52 Qué guay tiene que ser estar en tu cabeza. Escribiendo las reglas y las acusaciones sobre la marcha. Así siempre ganas!
Un besito, péiperman. 😘
Los de Mediatize han ido demasiado lejos.
#88 yo espero que al final acabes cantando canciones ucranianas
#4 Un mail, no, un mensaje privado. #7
#182 De aquella sí que no había hakers cómo los de ahora......
Borrado rápido de cuentas de Pornhub! precios económicos. Descuentos a grupos.
#12 ¿quien te los pidió? Insinúas que todo el mundo deber hacer lo mismo, que eres más chachi pq no tienes nada que "esconder" ¿?.
#49 Eso es irrelevante. Si dos contraseñas producen el mismo hash, ambas son igual de buenas.
#22 precisamente yo lo cambié hace poco porque un usuario "poderoso" me llamó de todo y por si le daba por buscar gresca en el MundoReal ™
Qué tranquilidad me das.
A mí echarme un cable con esto porque estoy pelao en estas cuestiones, per favore.
#40 Como el yogurt.
#124 Un mordisquito de mi parte. Aunque eso hazlo sin que te vean los de las barbas trenzadas, tampoco juegues con tu suerte.
#162
#191 En tu perfil
#199 Pero no olvides informarle que lo de abajo también es kosher, no vaya a hacerte chupachús solo por arriba.
Se sabe que el hackeo viene por las brechas de seguridad de la nueva web. (Esa que nadie usa porque anda rota )
#161 El que roba contraseñas (o el que las compra) no lo hace para entrar en Menéame, lo hacen para probarlas en otros sitios.
#12 cuenta con mi karma!
#177 Да, мы сказали об открытой заднице.
#10 Yo he cambiado las lámparas por candelabros de siete brazos, he recortado el gorro de la piscina para usar solo el casquete (kipá), me he circuncidado usando la puerta del baño y me estoy dando cabezazos contra la pared de la terraza (a modo de entrenamiento y como medida contra el dolor de la circuncisión casera)
#31 Sin tener mucha idea, diría que no debería afectar a los que usan un 'servicio de autenticación externo'.
Imaginaos cuando no exista ya el dinero físico y TODOS nuestros datos estén en las nubes.
#39 un comunicado vergonzoso.