Hace 1 mes | Por Pilfer a twitter.com
Publicado hace 1 mes por Pilfer a twitter.com

Parece que por la captura de pantalla meneame_netmeneame_net ha sufrido un hackeo. Actualización: https://blog.meneame.net/2022/10/03/ataque-y-extraccion-de-datos-en-meneame-analisis-y-las-medidas-que-hemos-tomado/

Comentarios

euleriano

#2 Esos de mediatice son los mismos de MNM. una burda estrategia

Mangus

#2 Decían que era para enviarnos unos mariachis.
Con los usuarios que tienen solo han recogido para grabarnos un CD pirata de rancheras y enviarlo por correo ordinario.

frg

#2 No hace falta. Las brechas de seguridad son inversamente proporcionales a la bolsa de cacahuetes con la que pagan a los "nuevos" (y "excelentes") programadores.

O.OOЄ
editado

#3 Hay un campo de la tabla (el octavo) que claramente se llama user_karma, y

Es esta tabla: https://github.com/meneame/meneame.net/blob/60fc5935e46fb72c47945abc63cd062803d030a8/sql/meneame.sql#l954

Ovlak

#9 Bastante mejor, gracias.

x
editado

#9 Cambiando contraseña en 3, 2, 1...

Verdaderofalso

#17 ya no me vale el 1234miscojones

pedrobz

#25 Ahora será miscojones33

#25 1234&mis.cojonesMorenos

manuelmace

#28 Eso si que es una contraseña segura! 🏆

Jesulisto

#28 Mamones. Me estáis dejando sin opciones

manuelmace
editado

#17 Pues ahora hay ciertos usuarios que tendrán que cambiar no solo la contraseña, sino también de cuenta de correo. Por ejemplo uno cuyo nombre empieza por G y termina por R.

Idomeneo
editado

#32 Gallir ya tiene su email público en su página web, así que por hackear la base de datos mysql de menéame averiguas muchas cosas pero no su email que ya era conocido:

gallir.wordpress.com

manuelmace

#48 Vaya hombre... a ver si también pone donde tiene aparcado el Ferrari

el-brujo

#55 Aquí saldrá



knzio

#48 más bien lo que dice #45

Pero hay algunos servicios de reverse lookup que almacenan un montón de hashes con su equivalencia y a veces suena la flauta

l

#32 si es una cuenta que no usas no hay motivo.

dark_soul

#17 la contraseña da igual. Tienen tu email para subscribirte a mil sitios de spam. En cualquier caso parece un dump de la base de datos. No quiere decir que pudieran hackear el site... O que tengan nada más relevante que una captura de pantalla

dark_soul

#47 gracias por compartir tu experiencia. Eres un héroe para los que le importa una cagada de paloma tu historia

FordCortina

#53 tiene razón, lo ha hecho bien y tú no, no te piques.

#47 Hay scripts para probar si un identificador (como puede ser una dirección de correo) está de alta en otros servicios.

Spam no vas a recibir en tu cuenta personal, pero ya saben tu cuenta de de correo y que está dada de alta en otros servicios. Perfecto para un ataque de phishing.

S

#47 Lo suyo es que todo el mundo tuviera cierta "compartimentalización" en el correo que recibe y cómo lo recibe, hasta me recuerdo lo de Ashley Madison, y la cagada de que muchos se registren con cuentas oficiales del gobierno.

c

#47 Nunca jamás con una cuenta real. Eso ni de broma.

omegapoint
editado

#41 y dime, como haces el dump de todos los datos, sin la pass de la bbdd.

porque el mail o los permisos no son algo público.

campi

#52 por telepatía computacional, es un nuevo servicio de Amazon Web Sevices.

omegapoint

#63 debe ser de los caros

dark_soul
editado

#52 no sé cómo es la arquitectura de esto. En las aplicaciones en las que trabajo los usuarios no tienen capacidad de hacer un dump de la db. No suele estar la app en la misma máquina que la db y es imposible que un usuario de la app pueda hacer un dump o conectarse a la máquina de base de datos para eso. Incluso, en el caso de hacerse con credenciales es bastante improbable que pudiera hacerlo desde fuera de la red

omegapoint

#71 pues desde dentro de la red... hackeo

campi

#71 Pues imagino que tienen Aurora de AWS para la DB en una subnet, instancias EC2 tras un balanceador simple o un WAF y la conexión entre las instancias EC2 y la DB autenticada con roles sin ningún tipo de clave. Aunque también deben tener VPN directa a esas subnets o máquinas de bastión para conectar a la DB directamente, por lo que pueden haber entrado por varios sitios.

dark_soul

#93 no pillo lo de las vpn. No las usaría pero pillo la idea

anonymousxy

#93 he leído hasta el final para saber si te lo estabas inventando (por tanta sigla y tal). Como si hubiera leído un texto en alemán del siglo IV.

Caresth

#93 Si tuviesen todo eso no hay dios que entre porque no se te entiende nada.

thorpedo

#71 El término "Dump" no sólo se aplica a hacer un MySQLdumo, se aplica a cualquier volcado de tablas.

Puedes tener un error en el código de la que te permita hacerlo, que suele ser lo normal.

dark_soul

#96 cierto. Eso podría ser pero... Un buen bug

thorpedo

#98 sqli de libro

cosmonauta

#71 Los usuarios no, pero el programador si. Sólo hay que inyectar el código adecuado.

E

#52 sqli

Aitor

#52 Con una inyección SQL.

cosmonauta

#52 Inyectando código. Si consigues meter una función que lhaga un dump de la lista de usuarios y ejecutarla, ya lo tienes.

En entornos PHP es relativamente habitual. Es el vector de entrada más común en los wordpress.

p

#52 hay bastantes maneras muy divertidas de realizar sqlinjections...

E

#17 ese campo parece que lo tienen encriptado, al menos en la captura de pandalla

el-brujo

#17 md5 no es muy seguro, pero cifrado sha256, si lo es (me quito el sombrero)

mudito

#17 ya te da igual, la vieja la tienen.

xyria

#17 Ya la he cambiado.

frg

#17 ¿Para qué? Con ua de clones que hay, incluso con karma imposible para un uso normal, ¿quien va a pagar por un usuario?

marraski

#9 contraseña y correos cambiados mil gracias.... joder con los lunes....

Graffin

#84 no corras que si no parchean la vulnerabilidad no te sirve de nada cambiar

Jakeukalane
editado

#84 esta tarde viendo el mapa de bitdefender en la pantalla de enfrente toda la tarde infecciones cada 1 segundo o menos...

N

#9 Aquí muchos van de antisistema pero luego todo dios usa gmail

torkato

#9 user_karma un varchar?? y de 255??

R

#9 ¿esa captura es un sample o es alguien que la tiene ya full? (aparte del atacante obviamente)

ioxoi
editado

#9 pues pensaba que era un fake ya que si miras la base de datos de meneame, ni tiene la tabla accounts ( se usa la tabla users) ni usan varchar(256) para todo.
https://github.com/meneame/meneame.net/blob/master/sql/meneame.sql

parece que es una tabla temporal sobre la que se han insertado los datos para hacer un dump de la tabla, tiene poco sentido pero podría ser que usasen esta tabla para hacer un dump por tema de permisos, en lugar de usar la original.
El uso de "" también es mas que raro en lugar del "" o NULL cuando en la base de datos esta por defecto en NULL.
En un principio pensé que se habían ido a las primeras noticias de meneame y sacado un listado de usuarios con los que generar los datos
**Pero**
hay un usuario sin comentarios ni actividad, ni nombre de usuario común, con lo que no es posible saber de su existencia sin ver la BBDD o ser un insider , que si aparece en el twit, en particular es:
@provella

así que ... cambien su password ya.
cc #11

M

#9 solo piden 200$ por la lista...

f

#3 de hecho creo que es justo eso.

Pilfer
autor

#62 ya han editado la entradilla con la respuesta

El_Miserable

#5 A mi también, he flipado un poco.

Idomeneo

#5 Como dice #94, eso que dices es el error 404 normal de menéame de toda la vida:

https://www.meneame.net/404.html

Suigetsu
editado

No se yo, almenos la captura que han puesto sale gallir como rango 'god' y ya hace años que se vendió menéame. Que esto no sea una filtración antigua.

omegapoint

#43 del propio gallir, al precio que está la gasolina, a ver como llena el deposito del ferrari

vixia

#43 El 8.19 al lado del nombre coincide con su karma actual.

#43 O que no hayan cambiado el estatus de su cuenta.

Manolitro

#49 pues entonces sólo tienen que abrir la cripta y sacarlas

A

Parece que son rusos...

HackerRusoHackerRuso cuéntanos más

aironman

#24 pregúntaselo a su cuenta principal,@beltenebros.

A

#68 Cómo lo sabes? A mi durante un tiempo un tipo me acusaba de usar varias cuentas y sólo tengo una...

Beltenebros
editado

#82
El fulano ese, #68, dice que somos la misma persona. Supongo que será porque él tiene varios perfiles.
Apuesto a que si revisamos tu historial y el mío, habrá algún comentario coincidente en el tiempo, lo que invalida la acusación/bulo de #68.
Oye, después de esto, pídeme al menos amistad. Es lo suyo, ¿No? Me refiero a #82, no al repartidor de bulos.
CC #77

Las IPs están para algo. Los admin pueden revisarlas.

Beltenebros

#77
Si me permites un consejo:
No hagas caso a los trols.

HackerRuso

#68 me parto
beltenebrosbeltenebros

A

#82 Lo mío era un comentario jocoso por el contenido de la noticia y tú nick... Un chiste fácil y en ningún caso una acusación formal.

Beltenebros

#82
Gracias por avisarme.

Beltenebros

#68
Reportado por bulo.

Don_Brais

#68 #24 Habeis invocado sin querer a todos los clones

currahee
editado

#24 Utilizan el logo de "Ciudadanos para el desarrollo europeo de Bulgaria"
Si se busca "Кмета На Европа" el único resultado preciso lleva a un canal búlgaro y a un vídeo en Bulgaria.


en.wikipedia.org

Vamos, que lo de siempre. "Putin y los rusos se comieron mis deberes y violaron a mi gato". Por no molestaros, ni os molestáis en indagar un poco. Veis algo en cirílico y dais por hecho que es ruso. Y luego creéis saber la diferencia entre ucranianos y rusos...

cc/HackerRusoHackerRusoBeltenebrosBeltenebrosaironmanaironman #91

T

No sé que me duele más, los datos expuestos o que todos los campos de la base de datos sean VARCHAR

Dramaba

#37 Varchar, obviamente...

Socavador

Nos han hakiado?

lameiro

#12 crakiado

#12 ¿Ustedes creen que los puedan jaquiar?

campi
editado

Clave cambiada por si las moscas,@admin convendría que regeneraseis la clave api no? o se regenera con el cambio de clave

El_empecinado
editado

Sí, es un hackeo. Cuando intento entrar me sale esto... Pero creo que he identificado a los culpables...

Ainhoa_96
editado

#20 El día que pidan re-confirmar el email asociado a cada usuario, Menéame pierde un montón de cuentas

Yo utilicé un mail de guerrilla, temporal, para registrarme

#42 Y que lo digas, las cuentas que uso eran temporales o en servidores que hace años que no existen. Seria una putada

thorin

No debería haber usado mi email "enano_cachondo69@hotmail.com".
Ahora lo va a ver todo el mundo.

manuelmace
editado

#34 Y ahora también sabemos que eres un varón bajito de pelo blanco, en torno a 53 años, que vive en Chueca y está salido...

O.OOЄ

#20 el mio es ;drop database users;--gmail.com

e

Yo lo veo bastante "legit", en el registro de la cuenta de Gallir pone que es "god"

omegapoint

#33 a saber de cuando es, ahora el god es dseijo

pedrario

#58 solo puede haber un god? bien puede ser que haya varios y a gallir lo hayan mantenido porque es el god autentico en caso de problema gordo.

omegapoint

#66 ¿solo hay un god verdadero y va en ferrari?

Junchi

#19 y tb quien es admin

Khadgar

¿Datos personales? ¿Qué datos personales?

O.OOЄ

#6 El email y la dirección IP asociada a un nombre de usuario.

Khadgar

#14 El email que utilizo es una dirección 'falsa' que solo utilizo para Menéame así que...

Rembrandt

#20 Normal que sea de usar y tirar.... para hacer clones.... Tu cuenta tiene dos días.

Khadgar

#46 Todas las cuentas han tenido dos días en algún momento.

Rembrandt
editado

#64 Pero esta no es tu primera cuenta, que eso era lo que señalaba. Esta es tu cuenta de esta semana.

Khadgar

#73 No, de esta semana, no. En total, en los últimos doce años, he tenido cuatro cuentas. Y la última la borré porque me enfadé después de que me penalizaran por informar a otro usuario de que era un idiota.

dballester

#14 joder... que chungo.

musg0

#6 Como mucho el email

knzio
editado

#16 dices "como mucho" como si fuera poco. Con el email te logueas en cantidad de sitios, y la gente que usa la misma contraseña en todas partes, con el peligro que tiene, es mayoría.

kampanita

#26 el password solo tienen el hash -

ChesterCopperpot
editado

#45 #6 Es que estaría cojonudo que estuvieran ahí como texto plano

kampanita
editado

#97 pues eso, que sin el dato en texto plano tampoco es que se pueda hacer mucho ... vender las direcciones de correo para spam...

EmuAGR
editado

#45 A los que tienen md5 es como si estuviera en texto plano.

skgsergio

#45 
> solo tienen el hash
El hash siendo md5:
Puertas al campo | malviviendodelpoker

D

#26 Las contraseñas están encriptadas.

thorpedo

#49 mírate lo que son Rainbow tables

#100 Sé lo que son.

Don_Gato

#16 me acabo de dar cuenta que el email con el que me registré en Menéame allá por el pleistoceno es de ozú. DE OZÚ!!!!

A ver quién es el guapo que recupera las claves enviadas a un dominio que ya no existe

Dene

#6 salvo que alguien ponga datos reales (nombre, ...) sobre todo, las IPs habituales desde las que conectas y la identificación del tipo de equipo y navegador que usas

thorpedo

#6 Se pueden hacer bastantes análisis por ejemplo de multicuentas ya que la gente es muy cenutria y tendrá en todos sus bots con la misma contraseña.