TECNOLOGíA, INTERNET, JUEGOS
297 meneos
3272 clics
Correos y otras 4.600 webs, infectadas para robar contraseñas y datos de pago

Correos y otras 4.600 webs, infectadas para robar contraseñas y datos de pago

Un grupo de hackers ha conseguido tomar el control de Picreel y el proyecto open source Alpaca Forms. A través de ellos, han conseguido modificar archivos JavaScript de la infraestructura de ambas compañías y han conseguido introducir código malicioso en más de 4.600 páginas web que utilizaban sus servicios.

| etiquetas: hacker , webs , correos , contraseñas
117 180 1 K 272
117 180 1 K 272
" los scripts recopilan datos rellenados por los usuarios en cualquier formulario de la web."

Alguien se habrá hecho con un montón de datos sobre seguimiento de envíos en Correos.
#1 Se pueden pagar en la web muchos servicios con tarjeta de crédito, distintivo ambiental de la DGT, cajas, sellos ...
#9 Si, pero los datos de pago no se introducen en la web afectada, sino a través de la pasarela segura que tengan contratada, que se encuentra en otro sistema y que pertenece al banco.
#10 Ok cierto por la parte del pago con tarjeta, eso sí por el formulario te piden un foto del permiso de circulación y DNI, eso sí se lo llevarán y no deja de ser información ultraprivada.
#12 No estoy restando gravedad al problema, sino simplemente añadiendo un punto de tranquilidad con respecto a temas económicos, que es lo que más suele preocupar a la gente.

Añado: Porque el titular "robar contraseñas y datos de pago" resulta, si no falso, de un amarillismo alarmante un tanto extremo.
#10 bueno, no se el caso de correos pero algunas pasarelas (ceca mismo) te permiten solicitar los datos de pago en la página web sin a penas preocuparse de la seguridad de la misma
#24 Sí, como dices hay webs que permiten almacenarlo (ojito con los módulos de pago en los cms), pero cualquier sitio medio serio no se mete en esos embolaos chapuceros, y por el lado del usuario, hace falta ser muy muy imprudente para dar el csv de la tarjeta en una web para automatizar pagos.

Hace tiempo que no ando con estos temas, pero si no recuerdo mal, sin CSV (solo con número de tarjeta y fecha de caducidad) desde una web solo se podrán procesar pagos hacia una pasarela no securizada, donde el pago puede ser repudiado por el dueño de la tarjeta en 120 días. Algo es algo.
Usar npm y otros repositorios similares mola hasta que alguien consigue meterse en alguna librería popular y jode a medio mundo.
Una recomendación en general para todo el mundo: KeePass. Eso sí, la contraseña maestra que sea buena y la tengamos replicada en un papelico en un cajón.
#4 keepassa hermano, paz :-)
#4 ¿Y en qué te beneficia un gestor de contraseñas si te la han obtenido al rellenar los datos de un formulario?

BTW, yo prefiero Bitwarden.
#6 Me imagino que lo dice porque un gestor de contraseñas te permite tener una contraseña diferente para cada sitio y si te la roban en un sitio, al menos no te afecta a los demás.
#6 Como dice #7 la principal ventaja por encima de cualquier otra es que esa contraseña es única para ese sitio (si lo utilizas correctamente), por lo que el problema no afectará a ninguna otra cuenta o servicio tuyo.
#15 #7 Se perfectamente lo que es, lo que hace y las ventajas que aporta un gestor de contraseñas. De hecho como he comentado utilizo Bitwarden.
#20 me alegro por ti pero entonces para que preguntas?
#21 Si pensarás un poco, te darías cuenta que si te obtienen la contraseña desde un formulario, la haya generado un gestor o la hayas generado con una ouija en tu casa, la contraseña seguiría expuesta.
#23 de verdad? Pues no lo sabia. Gracias, amijo.

Ahora piensa tu un poco y enterate de que te hemos dicho dos veces que el gestor sirve para tener mil cotraseñas diferentes y que ese robo solo afecte a esa web y no a otras por culpa de repetir contraseña.
#26 Es que tener la misma contraseña para varios servicios es algo que no deberías hacer, teniendo o no un gestor de contraseñas.
#27 Es que recordar cien mil contraseñas es complicado, por eso la gente repite, por eso se recomienda un gestor de contraseñas, para no tener que acordarse y evitar repetir. Y así, amigo, es como keepass ayuda con este problema del robo de credenciales.
#28 Es que en #4 planteas una solución a una vulnerabilidad cuya solución no es la que planteas.

Lo de "y si el usuario pone la misma en otro servicio..." y todo ese rollo, son pajas mentales que os hacéis tú y #30.
#35 que vulnerabilidad? Que solucion? Pajas las tuyas.
#35 Perdona, pero #30 y yo de pajas mentales nada.

Pajas materiales, chaval. :troll:
#20 Ah, como preguntabas estaba asumiendo que era esperando una respuesta. Mis disculpas por la insolencia de permitirme responderte.

#21
#4 como tengas instalado un malware con keylogger y te pillen la contraseña maestra estás jodido a base de bien
#18 Siempre y cuando ADEMÁS obtengan tu base de datos de contraseñas.

En todo caso si te instalan un keylogger tu último problema es si usar o no usar un gestor de credenciales.
#29 Seguro que el malware puede hacer lo que yo haría: pillarte los ficheros kdbx a los que accedas y luego pillarte la clave. En un caso así es casi mejor no tener un gestor de contraseñas.
#31 ¿Y tener un gestor de contraseñas y un antivirus? No puede ser peor el remedio. Si usas la misma para todo estás jodido porque cada poco hay robos masivos y se publican bases de datos.
#32 No digo que tener una monocontraseña para todo sea mejor. Solo digo que el gestor de contraseñas es un componente que, de ser comprometido —y puede serlo con mucha facilidad si tienes malware que lo tenga como blanco—, te deja en un peligro gravísimo. Es algo que debe valorarse también; no pensar que los gestores de claves son una panacea.
#33 es dificil acordarse de tantas contraseñas y tener una para todo es peor que usar un gestor.

Los gestores sirven para gestionar muchas contraseñas y que cuando ataquen una web no te fastidien todos los demas servicios en donde usas la misma contraseña.

Si te instalan malware, el gestor te va a servir de poco pero en dicho caso tampoco sirve de nada guardarlas en tu mente porque te las capturaran cuando las uses.

Para evitar eso son utiles las llaves usb.
Pues si es verdad estaría bien que dieran la cara y al menos sacaran una nota en la web, porque por ejemplo a todos los que han comprado el distintivo ambiental de la DGT en la web igual a estas horas les están vaciando la tarjeta de crédito...
#8 Pues ojo a los extractos. Tu banco debería mandarte mensaje cada vez que hay un cargo. Al primer movimiento que no reconozcas, llamada al banco y que se las arreglen ellos. En el pago con tarjeta el que tiene las de perder es el vendedor, no el comprador.
Pues el js del hackeo es la mar de bonito...
Correos dejó de usar Picreel en septiembre de 2018. Errónea.
esto con internet explorer no hubiera pasado?
¿ Dónde están ahora todos aquellos que se reían de mí por reinventar la rueda ?

¿ Dónde está ahora vuestro dios ... ? :troll:

menéame