Hace 9 años | Por danibishop a en.ria.ru
Publicado hace 9 años por danibishop a en.ria.ru

Hackers han robado y publicado una base de datos que contiene los logins y passwords de casi 5 millones de cuentas Google, según la fuente de noticias tecnológicas rusa CNews.ru.

Comentarios

tiopio

Yo voy a pasar de 1234 a 4321.

M

#6 ¿Cuál es tu login? Es que quiero mandarte un correo... roll

D

#6 bravo! Ya has añadido un símbolo! lol

Valverdenyo

Verificación
en dos pasos.

D

#9 Ya claro, pero pierde la gracia de poder consultar el mail si no llevas el móvil encima.

Rembrandt

#68 no se tu, pero la mayoría lleva el móvil a todos lados

D

#73 No, la mayoría no.

Valverdenyo

#68 En el enlace que pone #72 tienes formas de hacerlo sin móvil, no las he probado, pero puedes usar uno parecido a la tarjeta de coordenadas de las tarjetas del banco, por ejemplo.

forms

#9 si me pagas los SMS....

D

#10 en la lista que difunde #15 hay duplicados. Por lo que la cifra será menor.

te_digo_que_no

#8 yo tengo la lista

te_digo_que_no

#43 No estas ...

esnaucer

#8 Dame tu nombre y te busco!!!

d

#80 Efectivamente.

panzher

#22 Es solo texto plano.
Lo he bajado con ubuntu y por suerte no tengo ninguna cuenta afectada y te puedo confirmar que el fichero está limpio de cosas raras.

javicl

#26 Me temo que te la han juanqueado

D

#27 vaya.. me puedes cambiar la contraseña y decirmela?

javicl

#33 Me tienes que hacer un donativo de 15$ por Paypal y te la cambio a b00bs

D

#37 Dame tu direccion de paypal y te hago el donativo de 15$. Eso cuantos euros son? 150? 200? Rapido amigo que me van a borrar mis archivos de gmail los hackers.

javicl

#40 Mi usuario de PayPal es PrinceUdoOfNigeria@hotmail.com
En euros son unos 200€ pero por ser tú te lo dejo en 220€

D

#44 Guay gracias, pagado.

Joice

#46 Oye estoy intentando entrar en tu cuenta y no lo consigo. ¿La password es boobs o b00bs (con ceros)?

yusavi

#23 Para que luego digan que los juegos de ordenador no son educativos, jugando al Diablo II lo primero que se aprendía era a no mandar usuario y contraseña a nadie por muy en verde que salieran sus mensajes. La pecha de pardillos que protestaban pirque les habían robado sus cuentas....

s

no puede ser peor que aquella vez que mi novia cogió mi movil.

Itilvte

#41 #45 que se ve que mola más meterse con apple que con google no te lo niego.

Pero en caso que comentáis salieron a la luz cosas que se podía considerar que Apple había hecho mal, como obligarte a subir a su iCloud todas las fotos que tomaras con tu iphone, no insistir en que las personas usaran contraseñas seguras o authenticación de 2 factores (cosa que ahora sí hace y google llevaba haciendo mucho tiempo), o que directamente no tenia 2factor Auth. Y le ha acabado explotando en la cara. Porque habia mucho material sensible en la nube protegido por medidas de mierda.

CC #51

MycroftHolmes

#54 Apple no te obliga a subir las fotos a iCloud (yo tengo deshabilitado el Foto Stream). Respecto a no insistir en la seguridad... es lo que dice #50 , yo soy el responsable de la seguridad de mi contraseña, no necesito a papá Apple (ni a papá Google, mi correo no está afectado, por ejemplo)

D

#54 Apple tenía (y tiene, y tendrá) fallos en sus sistemas y políticas de seguridad. Ocurre en todas partes.

El tema era si se había utilizado alguno de esos fallos para obtener esas fotos. Y nada indica que fuera así.
Como en este caso nada indica que la culpa sea de Google.

Lo que molesta a veces es el doble rasero. Los que saltan al cuello de Apple, aunque no haya indicios de que sea la culpable (y muchos decían que debían sancionar a la empresa!) pero cuando ocurre algo similar con otra empresa que les cae mejor, relativizan el tema...
Un poco lo que comento en #75.

Pero, en fin, esto es Menéame, y con ciertas cuestiones no creo que haya nunca demasiada objetividad (aunque siempre hay gente sensata con la que se puede discutir).

D

#51 Mmm... Creo que es mezclar cosas.
Es verdad que Apple tenía el fallo de poder ingresar contraseñas erróneas sin bloquearse. (Lo corrigieron justo el día antes del Fappening).
También es cierto que no tienen, todavía, habilitada la seguridad de dos pasos en iCloud (que está en beta desde hace tiempo).

Pero las fotos no se obtuvieron por esos fallos. Fueron ingeniería social. Precisamente, lo que se comenta en la noticia que enlazas es un man-in-the-middle de toda la vida.
Eso lo puedes hacer con cualquier servicio. Lo mismo con el phising.

Apple dio un comunicado diciendo que no se había explotado ninguna vulnerabilidad en sus servicios, como imagino hará Google con este caso.

De hecho, algunas de las fotos se comentó que venían de Dropbox. Y al menos una afectada confirmó vía Twitter que ella usaba un teléfono con Android.

Por lo tanto, dada la evidencia, no hay nada que indique que fue un fallo de Apple: la empresa lo niega, los expertos demuestran que se pueden obtener datos con simples técnicas de ingeniería social, incluso las fotos no has salido todas de iCloud, y hasta no todas fueron tomadas con iPhones.

Pero en los comentarios de esa noticia, la culpa era de Apple.

Como digo, aquí hay un doble rasero. Todo lo que sea hacer carnaza de Apple, tiene posibilidades de ir a portada. Todo lo que afecte a empresas o servicios que sean bien vistas en Menéame, se reciben con otro talante. Lo he comprobado con las noticias que hablan de las fabricas chinas: de las de Foxconn/Apple hubo mucho en portada y se puso a parir a la empresa. De las demás, envié yo unas cuantas y pasaron sin pena ni gloria.

Pero esto es una historia antigua ya en Menéame. Se sabe que ciertos temas generan rechazo, que existe un cierto odio por ciertas empresas y ciertas personas, y lamentablemente, cuando toca algo de esto, se acaba la objetividad.

Si no fuera porque el sitio tiene muchas cosas positivas, este tipo de cuestiones echarían atrás a mucha gente (yo incluido).
Pero bueno, como todo, te acostumbras a que no puedes hablar de según que temas con cierta normalidad por aquí...

r

#48 yo también recibí ese aviso de que alguien desde china había entrado a mi cuenta y que google lo había parado. Cambié la contraseña, pero si me la han vuelto a trolear...

b

5 millones ha de ser una miseria en proporción a todas las cuentas abiertas pero por si acaso voy a cambiarla

Itilvte

#13 #28 porque google no tiene la culpa en este caso. Leed la noticia o al menos leed a #7

D

#39 Ni Apple tenía la culpa de lo de las fotos. Pero eso parece que no le importa a casi nadie por aquí...

MycroftHolmes

#34 #39 Pues la misma culpa que Apple con el celebgate.

danic

#45 En el caso de apple por lo que se fue un ataque a su servidor con un script público en phyton, aparte de que sacaron fotos supuestamente borradas y que por defecto se mantienen copiadas en icloud, asi que no, no es igual ni de lejos

D

#64 Nadie ha confirmado que ese script fuera el que se utilizara para obtener las fotos (de hecho, el script era reciente, y la cantidad de víctimas es demasiado grande para pensar que se haya hecho en poco tiempo).

Si el hacker tuviera acceso a los mismos datos que el usuario, ¿cómo es posible que pueda acceder a fotos borradas que el usuario no puede ver?

Lo más razonable, dado el número de víctimas y la cantidad de fotos y vídeos aparentemente obtenidos, es que no se trate de un solo ataque, que no sea reciente y que haya afectado a distintos servicios (una de las víctimas confirmó que no usa iPhone).

Si eres un hacker paciente, mediante ingeniería social podrías obtener una buena cantidad de fotos de un montón de personas en un lapso prolongado de tiempo. Simplemente explotando contraseñas débiles en diferentes servicios (iCloud, Dropbox, Box.net, etc.) podrías hacerte con cantidad de fotos y vídeos, siempre y cuando seas precavido y no dejes rastro de lo que haces.
En el lapso de unos años tendrías una cantidad de fotos enorme, que es lo que el supuesto hacker decía tener.

Prefiero pensar que la posibilidad más sencilla es la más posible (navaja de Ockham).

a

#39 tampoco la tuvo Apple en el otro caso, fueron víctimas de scam, pero la gente esta deseando acribillarla... Y no digo que sea perfecta, mágica e intocable, sólo que también tenemos mucho que agradecerle, incluso si nunca hemos tenido un iPhone. Cuando este salió, los teléfonos eran teléfonos y los smartphones eran de todo menos smart... Gracias al iPhone existe android y los teléfonos son todo pantalla.

Que no seamos tan fanáticos, vamos

f

#7 estoy afectado, aparece mi correo ahí... que técnica han usado para pillarme mi pass ¿? sobretodo para defenderme de esta
seguro que ha sido physing troyano no se si ubuntu pudiera hacer alguno que entrara de alguna forma

de toda manera acabo de cambiarla y tengo provisto de pillarme un nuevo disco duro y cuando instele de nuevo el sistema la volveré a cambiar

anxosan

Solo con las que serán 123456 ya se podría sumar una cantidad así.

dpunx

Los Hackers no han robado y publicado una base de datos. Han ido creando una base de datos a través de Troyanos y/o pishing y la han publicado

Arzak_

Jooo y yo que ya me había memorizado mi contraseña alfanumérica y con símbolos de 32 caracteres...

mandelbr0t

Cambiar la contraseña no es suficiente. Si hacéis login en un ordenador infectado volveréis a caer.

iveldie

Vaya, he sido afectado, he cambiado la contraseña, ¿qué más puedo hacer #59?

mandelbr0t

#66 Pasar un buen antivirus a tu ordenador y evitar hacer login de google, bancos, etc en equipos de amigos y familiares que puedan estar infectados.

D

Amosnomejodas!!!

s

#1 Sí quieres averiguar si tu cuenta está afectada, pulsa ALT + F4

hardrock

La mia no la consiguen ya que es el cumpleaños de mi madre que por cierto a ver qué le regalo que es el viernes.

D

Si fueran de Google habrían robado los hashes, no las contraseñas.

h

Acabo de entrar en https://isleaked.com/en.php, dice que mi cuenta es de las afectadas y como prueba me dice los dos primeros símbolos de mi contraseña. El problema es que esos símbolos NO ESTAN en mi contraseña, por lo que debe de ser un robo de la época de matusalen.

h

#49 para mi que habrán hackeado es una web de terceros y como el 90% de los mortales utiliza el mismo password para todo, habrán conseguido hacer login en un número importante de intentos. O eso espero, porque como he dicho la contraseña filtrada no coincide con la de mi cuenta

noexisto

#49 estaba yo en casa de una amiga (sin teléfono) y como esperaba un correo importante me dio por conectarme al mismo. A los 5 minutos pensé:
"pero qué has hecho caramelón si esta todo lo que tiene es pirata, la seguridad le importa una m. y el wifi es del vecino vete a saber cómo!!!".
Cogí el coche rápidamente y cambie mi contraseña al instante! lol lol lol

D

Los hackeos sin tetas ya no tienen gracia.

majanos

Usando Google Authenticator vivo más tranquilo... Dos factores de autenticación, por un lado tu password normal y luego un código que cambia cada 30 segundos. 100% recomendado y compatible con Google, Facebook, Outlook...

samsaga2

También salgo pero es la contraseña de hace dos siglos y medio.

No hay forma humana de evitar estas cosas. Lo único es cambiar la contraseña cada pocos meses.

Segador

#87 Hombre, no descargarse .exes u otras lindezas por que sí y ejecutarlos ayuda a que no pase.

D

*********

Segador

edit

jaz1

......cuando se empeñan los pillan

Ingenioso_Hidalgo

Y tan real, acabo de avisar a 1 amigo que sí aparece y la contraseña que sale es la suya.

Brugal-con-cola

¿Y da igual que guarden solo el cifrado de las pass? ¿de que sirve entonces?

D

nada, cambio de pwd hecho

k

Mi cuenta estaba entre las agraciadas.....

Azucena1980

Espero que la mia, chicacalida1980@gmail.com no haya sido hackeada y hayan visto mis fotos privadas sin nada de ropa y con mis juguetes.

Ah, y si alguien quiere que le compruebe si su dirección ha sido hackeada que me la ponga aqui con su password que se lo compruebo

crodas

En thepiratebay encontré un zip que dice tener 10 millones de contraseñas. Tocará bajar para verificar

eltercerhombre

#15 Esta bien eso, 5 millones de cuentas correo de usuarios con poca idea... mmm... no me des ideas...

d

#15 gracias la mía la han pillado pero bien, los dos primeros carácteres coinciden suerte que tengo lo de la verificación en dos pasos de google y si inician sesión en otro sitio me envían un SMS a mi móvil.

sorrillo

#20 ¿Esa misma contraseña la has utilizado en algún otro sitio aparte de Gmail?

avalancha971

#15 Está bien lo de los comodines, pero tras comprobar que había 1 match, les he dado mi dirección sin comodines para ver lo de los dos primeros caracteres si era cierto y resulta que no estaba afectada lol

AunEstoyAqui

#15 acabo de comprobarlo, estoy en esa lista, las 2 primeras letras se corresponden con una contraseña que cambie hace más de 4 años (si, cambio la contraseña una vez al año como mínimo)
Lo mismo se la robaron a un tercero

M

#47 Cambiar la contraseña está bien pero cambiarla cada año... ¿qué se puede hacer en un año que no se pueda hacer en tres meses? Si te roban la contraseña no van a estar tanto tiempo sin usarla, la usarán en ¿dos meses? ¿tres meses tras el robo? tu cuenta será comprometida y tu cambio anual de contraseña no servirá para mucho.

Pero bueno, mejor un año que nada.

La frecuencia suele ser de 72 días, lo que da una pereza enorme.

thorin

#47 Mi cuenta de gmail que esta como afectada también aparece con una contraseña de hace bastantes años.

astronauta_rimador

#15 anda, pues funciona! mi correo me lo ha encontrado aunque con los dos primeros caracteres de mi contraseña antigua.

b

#15

Tengo una cuenta que uso para el warez afectada. Gracias.

p

#15 Apuntan que probablemente no les hayan robado las contraseñas a Gmail sino que provengan de otros sitios web, por lo que afectaría principalmente a la gente que usa la misma contraseña del correo electrónico en otros sitios.

Tendrian que crear un sistema distinto. El actual lo veo casi inviable, yo no subscribo en algunos sitios por no tener otra contraseña.
La contraseña no deberia salir del navegador. El servidor manda un salt que se "suma" a la contraseña, el servidor hace lo mismo y si el resultado es el mismo entonces es correcta. En la creacion de la cuenta tambien se puede hacer lo mismo envia una salt de servidor al navegador lo "suma" y envia al servidor. El servidor guarda el salt y el resultado. No hace falta enviar la password nunca y no tiene pistas de la contraseña. Podrias usar la misma contraseña en varios sitios y no lo sabrian. Tambien tener pass estilo Web+pass y tampoco daria pistas.

Se pueden combinar los dos salt el de sesion o el servidor para tener los dos tipos de seguridad.
Tecnicamente no es dificil, porque no se hace? supongo que lo dificil es ponerse de acuerdo.

D

#85 Porque lo que propones no soluciona nada y crea más problemas. Para empezar el servidor no debería guardar la contraseña, ni siquiera cifrada, con lo cual no puede sumar nada a la misma, pero bueno, supongamos que lo que se le envía desde el navegador es el hash + el salt que comentas, en ese caso el servidor además del salt debería enviar la semilla que ha utilizado para calcular el hash al navegador, con lo cual ya estás divulgando información que no deberías.

Por otra parte si alguien está escuchando igual que intercepta el password también puede interceptar el salt y la respuesta que le envías al servidor, con lo cual seguirá siendo trivial obtener el hash que ha calculado el navegador y sumarle un nuevo salt para poder entrar en el futuro.

Y a eso súmale que si el servidor lo ha hecho bien, guarda el hash de las contraseñas en lugar de las contraseñas, y por lo que sea la base de datos de esas contraseñas se ve comprometida el atacante podrá entrar directamente sin ni siquiera molestarse en tener que descifrar los hashes porque ya es lo que espera el servidor. Mientras que si se compromete el hash y es el servidor el que lo calcula el atacante tendrá que buscarse algún medio para obtener la clave que espera el servidor.

p

#85 Esquematizo para aclarar el protocolo. No sorprede que se haga ya asi aen algun sistema.

crear cuenta.

El servidor envia el salt a cliente/navegador el cliente hace la suma y la envia al servidor. El servidor guarda la suma. Como se hace ahora se puede cifrar el resultado consigo mismo como se hace ahora. Es decir, Se envia el salt, se recibe el resultado y se cifra utilizandose a si mismo como contraseña.
En ese momento del alta se puede interceptar pero igual que ahora. Se puede repetir el proceso con la misma contraseña que teclea el usuario y aun asi dejaria de ser vulnerable si no ha vuelto a ser interceptada. Se puede utiliza https y los mismo metodos que se usan ahora.

Logien con la cuenta creada.

Sen envia al cliente el Salt que tiene guardado en el servidor y se usa en todas las sesiones y se envia otro salt aletorio que solo se usan una vez en cada sesion.
El cliente recibe los dos salt y hace la suma de los dos y envia el resultado. El servidor suma el salt de sesion al resultado que tiene guardado (estado sumando al Salt permanente) y se le da lo mismo de lo que ha enviado el cliente es correcta.

Un pequeño problema es que el servidor tenga cifradas las contraseñas consigo misma. Entonces el cliente deberia hacer ((Salt permanente+contraseña)+cifrado consigo mismo)+salt de sesion) y enviarlo para que lo verificase el servidor.

Interceptar lo que envia, no serviria para otra sesion distinta.

b

#15 gracias por el enlace, estoy a salvo ! y mi familia tambien

r

#15 gracias por el link, por cierto los spamers estaran felizes con el listado de emails..

D

#15

Has proporcionado una BBDD cojonuda de direcciones para SPAM

GuL

#15 Gracias, 5 millones de cuentas spameables.

D

#15 Muchas gracias por el aporte. Afortunadamente mi cuenta no está afectada.

Dalocer

Hmm, será mi pc pero le cuesta abrir el txt un wüebo con el notepad, ¿alguno utiliza otro programa que no le cueste tanto o me veo "Aliens 2" en lo que lo abre entero?

danic

#69 no creo que te abra , el notepad no se traba ficheros grandes usa el notepad++ por ejemplo http://notepad-plus-plus.org/

d

La mía dice que está, pero la contraseña no coincide, curiosamente la contraseña que tienen es la que suelo usar para registrarme en foros donde no participio y solo piden registro, así que de hackear google me da que nada, han hackeado foros, pero es muy probable que gran cantidad de usuarios tengan la misma contraseña en el foro que en su correo electrónico.

D

He confirmado mi correo está entre los afectados, pero la contraseña es la que uso para paginas "mierda".

David_OM

Bueno, ya tocaba cambiar la pass...

M

Yo la he cambiado por si acaso. De todas formas, es aconsejable cambiarla cada pocos meses. Espero que esto se alcare y se sepa si es un bulo, es ofcial o qué.

mtrazid

Mi mail es amoabotella@gmail.com y la contraseña sesabesesienterajoypresidente. Estoy afectado?? os doy mis dies!!!

M

Ufff, no estoy en la lista

m

localizada la direccion de un amigo, le contacto, le indico las 2 primeras letras de su contraseña.

Me dice que esa contraseña es la primera que uso en gmail cuando se la abrio, hace tropecientos años, la informacion que contiene puede ser bastante vieja en algunos casos

b

Ojo, en mi caso, en mi cuenta afectada, ponía que los 2 primeros caracteres de la contraseña eran CO, cuando no era correcto ( tenía otra contraseña que empezaba de diferente forma, es más, no usaba la C y la O para nada). Por lo que mi cuenta ha sido afectada, pero no creo que tengan mi contraseña. Aún así es práctico.

Rembrandt

#90 Seguramente tienen millones de contraseñas de alguna web. Donde también metes el correo.

Si tratas de acceder a esos correos con esas contraseñas... pues en muchas podrás entrar, en otras como la tuya no.

No es lógico poner la misma contraseña de tu correo en páginas chorras.... pero mucha gente es super feliciana y toda orgullosa te dice que usa una contraseña para todo.

b

#94

Yo lo he hecho con cuentas chorras de mail que creaba para almacenar correcto temporal. Pero en las 2 cuentas primordiales que uso tengo siempre contraseñas diferentes.

En muchas webs de warez que ando uso la misma contraseña. Es cuestion de darle importancia o no.

PD: Ahora caigo. Ese comienzo de pass era de una contraseña que solía user muchas vez en webs de warez. Simple pero efectiva lol. Gracias al cielo que nunca la he usado en nada importante.

j

Estos rusos son los masters de terrorismo a la privacidad, ya llevan varias hazañas de estas. Ahora, que si bien no es la gran cosa para la cantidad de usuarios, mas vale que no caiga ninguno de nosotros.

La_Abuelita

Tengo la lista de afectados.
Si alguien quiere saber si está en la lista, que me envíe su nombre de usuario (email) y contraseña (sólo enviar por privado, por motivos de seguridad) y les informo.

hlfernandez

No tiene por que ser fake pero tampoco tiene por que cundir el pánico puesto que tal y como explica la noticia, han sido cuentas robadas en un largo periodo de tiempo mediante 'phishing' (me sorprende la cantidad de gente que cae en estos engaños) y troyanos.

D

joder pues a mi me viene hasta bien, que he olvidado la pass y google me está dando un por culo que no veas para restaurarla

i

Me apunto a la teoría que comentan algunos sobre que no son cuentas datos de gmail sino direcciones de gmail utilizadas en sitios de terceros en los que en algunos casos coincidirá la contraseña con la de gmail y en otros no. En mi caso aparece el e-mail que suelo utilizar basicamente para registrarme en sitios en los que no confío y como contraseña aparece una que suelo utilizar también basicamente para ese tipo sitios pero no coincide con la de gmail.

salsamalaga

Mi cuenta también aparece, pero los dos primeros caracteres que me muestra, coinciden no con mi contraseña de gmail, sino con la que utilizo en los sitios en que no confío.

Como menéame, claro.

John_Smith_2

Coincido con #99 y otros.

D

FAKE!

Eleith

Yo me he bajado el archivo y me he puesto a comprobar no solamente mis cuentas sino las de ciertas personas cercanas y curiosamente ha salido la de un conocido, al cual he avisado rápidamente. Así que de fake nada.

Otra cosa es lo de siempre, de dónde habrá salido la información. No he preguntado pero conociendo a esta persona, sabiendo cómo es con la seguridad y viendo los dos primeros caracteres de su contraseña (que apuntaban a su nombre), huele a que era un sitio que como mucho iba a visitar tres veces en su vida.

O el sitio de porno donde guardar sus videos favoritos

cc/ #24

Mordisquitos

#31 Yo también he buscado rápidamente los e-mails de todos mis contactos en la lista filtrada y, curiosamente, ambos son personas que cualquiera calificaría de "frikis" informáticos y muy avezados en los principios de seguridad que debe seguir un usuario.

D

#31 Claro que es un puto fake, nadie ha hackeado gmail, han hackeado webs random (seguramente mediante sql injection) y han dumpeado las bases de datos sacando passwords de esas páginas y sus emails... Luego han filtrado los emails y han cogido sólo los de gmail.

Y eso no son 5 millones de passwords de gmail, sólo si ponías tu password igual en gmail podrían hackearte, gmail no tiene el problema, lo tiene el imbécil del usuario.

Es un puto FAKE.

MycroftHolmes

Ah, pero es Google, entonces no pasa nada. Ale ale, niños despistados, mas cuidado la próxima vez. Nene malo. Caca

Si fuera Apple... oh wait!!!!

D

#13 Y si se usara el mismo rasero, la culpa sería de Google, claro está. Aunque no leo por aquí que la gente cargue contra esa compañía... roll

par

#13 Parece ser que google no tiene mucho que ver en como se han obtenido.

Zade

#34 el caso de apple al final fue phishing, simularon la web.

En fin, doble rasero.