Portada
mis comunidades
otras secciones
#2 Los van a meter en su base de datos, para ver si finalmente alguien se anima a ir.
#2 Esos de mediatice son los mismos de MNM. una burda estrategia
#2 Decían que era para enviarnos unos mariachis.
Con los usuarios que tienen solo han recogido para grabarnos un CD pirata de rancheras y enviarlo por correo ordinario.
#2 No hace falta. Las brechas de seguridad son inversamente proporcionales a la bolsa de cacahuetes con la que pagan a los "nuevos" (y "excelentes") programadores.
#3 Hay un campo de la tabla (el octavo) que claramente se llama user_karma, y
Es esta tabla: meneame.net
#9 Bastante mejor, gracias.
#17 ya no me vale el 1234miscojones
#17 Pues ahora hay ciertos usuarios que tendrán que cambiar no solo la contraseña, sino también de cuenta de correo. Por ejemplo uno cuyo nombre empieza por G y termina por R.
#32 Gallir ya tiene su email público en su página web, así que por hackear la base de datos mysql de menéame averiguas muchas cosas pero no su email que ya era conocido:
https://gallir.wordpress.com/about/
#17 la contraseña da igual. Tienen tu email para subscribirte a mil sitios de spam. En cualquier caso parece un dump de la base de datos. No quiere decir que pudieran hackear el site... O que tengan nada más relevante que una captura de pantalla
#41 Ah, ¿es que os habéis registrado con vuestra cuenta personal?
Siempre que puedo, me registro con el típico correo de hotmail de hace 20 años que no entro nada más que para recuperar contraseñas olvidadas/bloqueadas.
#47 gracias por compartir tu experiencia. Eres un héroe para los que le importa una cagada de paloma tu historia
#41 y dime, como haces el dump de todos los datos, sin la pass de la bbdd.
porque el mail o los permisos no son algo público.
#52 por telepatía computacional, es un nuevo servicio de Amazon Web Sevices.
#63 debe ser de los caros
#52 no sé cómo es la arquitectura de esto. En las aplicaciones en las que trabajo los usuarios no tienen capacidad de hacer un dump de la db. No suele estar la app en la misma máquina que la db y es imposible que un usuario de la app pueda hacer un dump o conectarse a la máquina de base de datos para eso. Incluso, en el caso de hacerse con credenciales es bastante improbable que pudiera hacerlo desde fuera de la red
#71 pues desde dentro de la red... hackeo
#71 Pues imagino que tienen Aurora de AWS para la DB en una subnet, instancias EC2 tras un balanceador simple o un WAF y la conexión entre las instancias EC2 y la DB autenticada con roles sin ningún tipo de clave. Aunque también deben tener VPN directa a esas subnets o máquinas de bastión para conectar a la DB directamente, por lo que pueden haber entrado por varios sitios.
#71 El término "Dump" no sólo se aplica a hacer un MySQLdumo, se aplica a cualquier volcado de tablas.
Puedes tener un error en el código de la que te permita hacerlo, que suele ser lo normal.
#71 Los usuarios no, pero el programador si. Sólo hay que inyectar el código adecuado.
#52 Con una inyección SQL.
#52 Inyectando código. Si consigues meter una función que lhaga un dump de la lista de usuarios y ejecutarla, ya lo tienes.
En entornos PHP es relativamente habitual. Es el vector de entrada más común en los wordpress.
#17 md5 no es muy seguro, pero cifrado sha256, si lo es (me quito el sombrero)
#17 ya te da igual, la vieja la tienen.
#17 Ya la he cambiado.
#17 ¿Para qué? Con ua de clones que hay, incluso con karma imposible para un uso normal, ¿quien va a pagar por un usuario?
#9 contraseña y correos cambiados mil gracias.... joder con los lunes....
#9 me encanta el tipo que pide la imagen a mejor resolución... para luego quejarse de que la pongan en público porque hay datos privados.
#9 user_karma un varchar?? y de 255??
#9 pues pensaba que era un fake ya que si miras la base de datos de meneame, ni tiene la tabla accounts ( se usa la tabla users) ni usan varchar(256) para todo.
meneame.net
parece que es una tabla temporal sobre la que se han insertado los datos para hacer un dump de la tabla, tiene poco sentido pero podría ser que usasen esta tabla para hacer un dump por tema de permisos, en lugar de usar la original.
El uso de "" también es mas que raro en lugar del "" o NULL cuando en la base de datos esta por defecto en NULL.
En un principio pensé que se habían ido a las primeras noticias de meneame y sacado un listado de usuarios con los que generar los datos
**Pero**
hay un usuario sin comentarios ni actividad, ni nombre de usuario común, con lo que no es posible saber de su existencia sin ver la BBDD o ser un insider , que si aparece en el twit, en particular es:
@provella
así que ... cambien su password ya.
cc #11
si algo merece una respuesta ASAP de los@admin imagino que es esto.
#5 A mi también, he flipado un poco.
#5 Como dice #94, eso que dices es el error 404 normal de menéame de toda la vida:
https://www.meneame.net/404.html
#49 pues entonces sólo tienen que abrir la cripta y sacarlas
Parece que son rusos...
HackerRuso cuéntanos más
#24 pregúntaselo a su cuenta principal,@beltenebros.
#82
El fulano ese, #68, dice que somos la misma persona. Supongo que será porque él tiene varios perfiles.
Apuesto a que si revisamos tu historial y el mío, habrá algún comentario coincidente en el tiempo, lo que invalida la acusación/bulo de #68.
Oye, después de esto, pídeme al menos amistad. Es lo suyo, ¿No? Me refiero a #82, no al repartidor de bulos.
CC #77
Las IPs están para algo. Los admin pueden revisarlas.
#77
Si me permites un consejo:
No hagas caso a los trols.
#68 me parto beltenebros
#68
Reportado por bulo.
#24 Sí, sí...
HackerRuso, sal por las buenas, antes de que el agente
N1kon3500 del FBI mueva a sus secuaces yanquinejos.
#24 Utilizan el logo de "Ciudadanos para el desarrollo europeo de Bulgaria"
Si se busca "Кмета На Европа" el único resultado preciso lleva a un canal búlgaro y a un vídeo en Bulgaria.
Clave cambiada por si las moscas,@admin convendría que regeneraseis la clave api no? o se regenera con el cambio de clave
#20 El día que pidan re-confirmar el email asociado a cada usuario, Menéame pierde un montón de cuentas
Yo utilicé un mail de guerrilla, temporal, para registrarme
#42 Y que lo digas, las cuentas que uso eran temporales o en servidores que hace años que no existen. Seria una putada
#34 Y ahora también sabemos que eres un varón bajito de pelo blanco, en torno a 53 años, que vive en Chueca y está salido...
Yo lo veo bastante "legit", en el registro de la cuenta de Gallir pone que es "god"
#6 El email y la dirección IP asociada a un nombre de usuario.
#14 El email que utilizo es una dirección 'falsa' que solo utilizo para Menéame así que...
#20 Normal que sea de usar y tirar.... para hacer clones.... Tu cuenta tiene dos días.
#46 Todas las cuentas han tenido dos días en algún momento.
#64 Pero esta no es tu primera cuenta, que eso era lo que señalaba. Esta es tu cuenta de esta semana.
#73 No, de esta semana, no. En total, en los últimos doce años, he tenido cuatro cuentas. Y la última la borré porque me enfadé después de que me penalizaran por informar a otro usuario de que era un idiota.
#14 joder... que chungo.
#6 Como mucho el email
#16 dices "como mucho" como si fuera poco. Con el email te logueas en cantidad de sitios, y la gente que usa la misma contraseña en todas partes, con el peligro que tiene, es mayoría.
#26 el password solo tienen el hash -
#97 pues eso, que sin el dato en texto plano tampoco es que se pueda hacer mucho ... vender las direcciones de correo para spam...
#45 A los que tienen md5 es como si estuviera en texto plano.
#45
> solo tienen el hash
El hash siendo md5:
https://malviviendodelpoker.files.wordpress.com/2017/12/puertas-al-campo.jpg" alt="Puertas al campo | malviviendodelpoker">
#16 me acabo de dar cuenta que el email con el que me registré en Menéame allá por el pleistoceno es de ozú. DE OZÚ!!!!
A ver quién es el guapo que recupera las claves enviadas a un dominio que ya no existe
#6 salvo que alguien ponga datos reales (nombre, ...) sobre todo, las IPs habituales desde las que conectas y la identificación del tipo de equipo y navegador que usas
#6 Se pueden hacer bastantes análisis por ejemplo de multicuentas ya que la gente es muy cenutria y tendrá en todos sus bots con la misma contraseña.
comentarios destacados