#62:
si algo merece una respuesta ASAP de los @admin imagino que es esto.
#74:
#53 La proxima vez que sientas que vas a escribir algo asi de borde alejate del teclado y vete a dar una vuelta.
#105:
#2#39 He leído que pide 200 euros. O sea, a 50 pavos por barba... Demasiado caro, por mucho interés que tengan.
#146:
#11 a mí me deja una, son 250.000 líneas y empieza por los primeros usuarios, en concreto por @gallir pero no se ven los últimos de la lista
Igual son cuentas muy antiguas, la mía es de más de 10 años y si el ID numérico es correlativo, haciendo una regla de con el número de filas (esquina inferior derecha de la captura) me sale que el hack sería de 2014 si se hubiera mantenido el ritmo de creación de cuentas de los dos primero años
#121:
#67 Quién ha hablado de SHA256? el campo user_pass es un varchar que puede tener un SHA256 o cualquier otra tipo de hash. Mira que me he cuidado de no usar y remarcar tachado "desencriptar" sino "recuperar", pero obviamente esperaba que alguien dijera lo de "no se puede desencriptar".
Hay bases de datos de hashes, son comunmente conocidas.
Vete a cualquier registro que no tenga contraseña SHA256 (el primero que aparece, que tiene user_id 5, por ejemplo). Copias el string de user_password, te vas a cualquier página de base de datos de hashes y lo pones. https://hashes.com/
Te la RECUPERA en menos de un segundo, como dije.
#47:
#41 Ah, ¿es que os habéis registrado con vuestra cuenta personal?
Siempre que puedo, me registro con el típico correo de hotmail de hace 20 años que no entro nada más que para recuperar contraseñas olvidadas/bloqueadas.
#41 Ah, ¿es que os habéis registrado con vuestra cuenta personal?
Siempre que puedo, me registro con el típico correo de hotmail de hace 20 años que no entro nada más que para recuperar contraseñas olvidadas/bloqueadas.
#67 Quién ha hablado de SHA256? el campo user_pass es un varchar que puede tener un SHA256 o cualquier otra tipo de hash. Mira que me he cuidado de no usar y remarcar tachado "desencriptar" sino "recuperar", pero obviamente esperaba que alguien dijera lo de "no se puede desencriptar".
Hay bases de datos de hashes, son comunmente conocidas.
Vete a cualquier registro que no tenga contraseña SHA256 (el primero que aparece, que tiene user_id 5, por ejemplo). Copias el string de user_password, te vas a cualquier página de base de datos de hashes y lo pones. https://hashes.com/
Te la RECUPERA en menos de un segundo, como dije.
#11 a mí me deja una, son 250.000 líneas y empieza por los primeros usuarios, en concreto porgallir pero no se ven los últimos de la lista
Igual son cuentas muy antiguas, la mía es de más de 10 años y si el ID numérico es correlativo, haciendo una regla de con el número de filas (esquina inferior derecha de la captura) me sale que el hack sería de 2014 si se hubiera mantenido el ritmo de creación de cuentas de los dos primero años
#130 El salt usado en el hasheo de la contraseña está incluido en el listado en el campo user_pass entre el algoritmo usado y el hash de la contraseña, separado por ":".
Para contraseñas cortas y sencillas, es factible el uso de fuerza bruta si se concatenan salt y contraseña. Con una RTX 3090, vuela:
Hashmode: 1420 - sha256($salt.$pass)
Speed.#_1.........: 8748.8 MH/s (78.38ms) @ Accel:16 Loops:512 Thr:1024 Vec:1
De ahí la necesidad de establecer contraseñas muy largas, complejas y usando más cosas que números y letras. Si te acuerdas de la contraseña, malo, mejor usar un gestor de contraseñas siempre.
#24 Utilizan el logo de "Ciudadanos para el desarrollo europeo de Bulgaria"
Si se busca "Кмета На Европа" el único resultado preciso lleva a un canal búlgaro y a un vídeo en Bulgaria.
Vamos, que lo de siempre. "Putin y los rusos se comieron mis deberes y violaron a mi gato". Por no molestaros, ni os molestáis en indagar un poco. Veis algo en cirílico y dais por hecho que es ruso. Y luego creéis saber la diferencia entre ucranianos y rusos...
#16 dices "como mucho" como si fuera poco. Con el email te logueas en cantidad de sitios, y la gente que usa la misma contraseña en todas partes, con el peligro que tiene, es mayoría.
#126#121 No he visto que había hashes que no habían sido encriptados en SHA256. Por eso asumí en mi comentario que te referías a ese algoritmo, te pido perdón por mi error.
#32 Gallir ya tiene su email público en su página web, así que por hackear la base de datos mysql de menéame averiguas muchas cosas pero no su email que ya era conocido:
#92 md5 no es bueno, sha256 es mas seguro en teoria, desconozco si usaron una "sal" https://es.wikipedia.org/wiki/Sal_(criptograf%C3%ADa) al crearlos, pero por el enlace de git que han puesto mas arriba para la tabla, no parece.
Los hashes como md5 estan deprecados porque ya se han logrado colisiones, no hay que usarlos para almacenar autenticación.
Sha256 es seguro en teoria, pero su función es ser eficiente en sacar un digest sobre el texto a hashear, por lo que es "rápido" para ataques de fuerza bruta.
La mejor soluciíón es saltear los paswords y usar un algoritmo creado especificamente para passwords, como Argon2.
Saltear el hash, es decir, añadir una cadena conocida a la contraseña a cifrar que se almacena a parte, evita que se puedan usar tablas precalculadas de hashes.
Algoritmos como Argon2 están pensados para hashear passwords, en ved de eficientes son costosos, de forma que dificultan muchisimo ataques de fuerza bruta.
El problema es que pueden comparar el dump con tablas de hashes conocidos y obtener la contraseña que genera el hash si no estaba salteada, o incluso en el caso de md5 obtener un password equivalente aun estando salteada encontrando una colision (bastante dificil).
#203 El dominio "ozu.es" todavía existe y es de alguien, pues tiene un registro DNS asociado, lo que no existe es el servicio de correo. Lo que dice #237 es correcto, pero un dominio con solera como ese es lógico que esté todavía cogido.
#6 salvo que alguien ponga datos reales (nombre, ...) sobre todo, las IPs habituales desde las que conectas y la identificación del tipo de equipo y navegador que usas
#2 Decían que era para enviarnos unos mariachis.
Con los usuarios que tienen solo han recogido para grabarnos un CD pirata de rancheras y enviarlo por correo ordinario.
Pues nada, solo falta que alguien con 200€ de sobra quiera hacer un artículo sobre astroturfing, sacar quienes son los famosos admin y cuentas reservadas etc.
Ya te digo yo que algún tuitero de extremo centro es capaz con tal de vengarse.
#2 No hace falta. Las brechas de seguridad son inversamente proporcionales a la bolsa de cacahuetes con la que pagan a los "nuevos" (y "excelentes") programadores.
#150 si, entiendo que el ritmo de crecimiento fue mayor en 2007-2009 que en 2005-2007. Pero bueno, tampoco sé si los ID son correlativos, si hay huecos, qué pasa cuando se da de baja un usuario etc etc
#146 Se ve en un usuario que modificó su cuenta en 2021 (es el campo user_modification). Así que no es tan viejo.
También estuve comprobando el karma de varios de los usuarios que se ven en la captura y coinciden con los que tienen ahora. Pero creo que eso no indica mucho (realmente no lo se), porque parece que son usuarios que hace mucho que no interactúan en la web.
Comentarios
En mediatize han hecho una colecta.
Con esa resolución la imagen podría ser la alineación de la selección de hóckey patines de Armenia.
#3
aqui se ve mejor
si algo merece una respuesta ASAP de los@admin imagino que es esto.
#53 La proxima vez que sientas que vas a escribir algo asi de borde alejate del teclado y vete a dar una vuelta.
#2 Los van a meter en su base de datos, para ver si finalmente alguien se anima a ir.
A mi, hace un rato me salía error 404 y debajo la frase "te lo avisamos".
#2 #39 He leído que pide 200 euros. O sea, a 50 pavos por barba... Demasiado caro, por mucho interés que tengan.
#29 Como suelen decir por aquí no te los han robado, los sigues teniendo en el mismo sitio, solo los han copiado que no es robar
#41 Ah, ¿es que os habéis registrado con vuestra cuenta personal?
Siempre que puedo, me registro con el típico correo de hotmail de hace 20 años que no entro nada más que para recuperar contraseñas olvidadas/bloqueadas.
#17 ya no me vale el 1234miscojones
No se yo, almenos la captura que han puesto sale gallir como rango 'god' y ya hace años que se vendió menéame. Que esto no sea una filtración antigua.
#49 pues entonces sólo tienen que abrir la cripta y sacarlas
Parece que son rusos...
@HackerRuso cuéntanos más
#59 no borréis las fotopollas que me habéis enviado, porfas.
No sé que me duele más, los datos expuestos o que todos los campos de la base de datos sean VARCHAR
#9 me encanta el tipo que pide la imagen a mejor resolución... para luego quejarse de que la pongan en público porque hay datos privados.
#24 Sí, sí...
@HackerRuso, sal por las buenas, antes de que el agenteN1kon3500 del FBI mueva a sus secuaces yanquinejos.
#47 gracias por compartir tu experiencia. Eres un héroe para los que le importa una cagada de paloma tu historia
#40 Pobre Bobby Tables... que incoprendido
#5 En menéame, de toda la vida, había un mensaje de error que decía "menéame Peta" (como si fuera Beta), y "te lo avisamos", o algo similar...
PD: Vamos, el que se ve aquí...
@Charles_Dexter_Ward
#5 Como dice #94, eso que dices es el error 404 normal de menéame de toda la vida:
https://www.meneame.net/404.html
Nos han hakiado?
#53 tiene razón, lo ha hecho bien y tú no, no te piques.
Clave cambiada por si las moscas,@admin convendría que regeneraseis la clave api no? o se regenera con el cambio de clave
#67 Quién ha hablado de SHA256? el campo user_pass es un varchar que puede tener un SHA256 o cualquier otra tipo de hash. Mira que me he cuidado de no usar y remarcar tachado "desencriptar" sino "recuperar", pero obviamente esperaba que alguien dijera lo de "no se puede desencriptar".
Hay bases de datos de hashes, son comunmente conocidas.
Vete a cualquier registro que no tenga contraseña SHA256 (el primero que aparece, que tiene user_id 5, por ejemplo). Copias el string de user_password, te vas a cualquier página de base de datos de hashes y lo pones.
https://hashes.com/
Te la RECUPERA en menos de un segundo, como dije.
Y en SHA256? mi contraseña aquí era Reagan2256 (ya la ha cambiado).
Aquí la saca en cero coma: https://md5decrypt.net/en/Sha256
Y no, no tengo ni idea de SHA256, solo pico teclas al azar.
#12 ¿Ustedes creen que los puedan jaquiar?
#11 a mí me deja una, son 250.000 líneas y empieza por los primeros usuarios, en concreto porgallir pero no se ven los últimos de la lista
Igual son cuentas muy antiguas, la mía es de más de 10 años y si el ID numérico es correlativo, haciendo una regla de con el número de filas (esquina inferior derecha de la captura) me sale que el hack sería de 2014 si se hubiera mantenido el ritmo de creación de cuentas de los dos primero años
Sí, es un hackeo. Cuando intento entrar me sale esto... Pero creo que he identificado a los culpables...
#20 El día que pidan re-confirmar el email asociado a cada usuario, Menéame pierde un montón de cuentas
Yo utilicé un mail de guerrilla, temporal, para registrarme
#54 como sois los que tenéis ordenadores cuánticos, siempre fardando de vuestras cosas.
#126 ¡Bingo!
meneame.net
No debería haber usado mi email "enano_cachondo69@hotmail.com".
Ahora lo va a ver todo el mundo.
#20 el mio es ;drop database users;--gmail.com
#9 Aquí muchos van de antisistema pero luego todo dios usa gmail
#25 1234&mis.cojonesMorenos
#1 creo que la captura de pantalla no deja muchas dudas.
#68 me parto
beltenebros
#16 me acabo de dar cuenta que el email con el que me registré en Menéame allá por el pleistoceno es de ozú. DE OZÚ!!!!
A ver quién es el guapo que recupera las claves enviadas a un dominio que ya no existe
#130 El salt usado en el hasheo de la contraseña está incluido en el listado en el campo user_pass entre el algoritmo usado y el hash de la contraseña, separado por ":".
Para contraseñas cortas y sencillas, es factible el uso de fuerza bruta si se concatenan salt y contraseña. Con una RTX 3090, vuela:
Hashmode: 1420 - sha256($salt.$pass)
Speed.#_1.........: 8748.8 MH/s (78.38ms) @ Accel:16 Loops:512 Thr:1024 Vec:1
De ahí la necesidad de establecer contraseñas muy largas, complejas y usando más cosas que números y letras. Si te acuerdas de la contraseña, malo, mejor usar un gestor de contraseñas siempre.
cc/ #121
#54 No tienes ni idea de SHA256 si dices eso.
#6 El email y la dirección IP asociada a un nombre de usuario.
#33 a saber de cuando es, ahora el god es dseijo
#71 El término "Dump" no sólo se aplica a hacer un MySQLdumo, se aplica a cualquier volcado de tablas.
Puedes tener un error en el código de la que te permita hacerlo, que suele ser lo normal.
#24 Utilizan el logo de "Ciudadanos para el desarrollo europeo de Bulgaria"
Si se busca "Кмета На Европа" el único resultado preciso lleva a un canal búlgaro y a un vídeo en Bulgaria.
https://en.wikipedia.org/wiki/GERB
Vamos, que lo de siempre. "Putin y los rusos se comieron mis deberes y violaron a mi gato". Por no molestaros, ni os molestáis en indagar un poco. Veis algo en cirílico y dais por hecho que es ruso. Y luego creéis saber la diferencia entre ucranianos y rusos...
cc/@HackerRusoBeltenebrosaironman #91
Yo lo veo bastante "legit", en el registro de la cuenta de Gallir pone que es "god"
#25 Ahora será miscojones33
#26 el password solo tienen el hash -
#9 Cambiando contraseña en 3, 2, 1...
#84 no corras que si no parchean la vulnerabilidad no te sirve de nada cambiar
#1 https://breached.to/Thread-Selling-meneame-net-2022-257k-users?highlight=meneame
#52 Inyectando código. Si consigues meter una función que lhaga un dump de la lista de usuarios y ejecutarla, ya lo tienes.
En entornos PHP es relativamente habitual. Es el vector de entrada más común en los wordpress.
#146 esto tampoco cuadra, ya por el 2019 tenia 500.000 cuentas activas:
https://blog.meneame.net/2019/12/09/aniversario-medio-millon-de-usuarios-activos/
por lo que o es antiguo o hay algo raro.
#203 si no existe del todo es solo registrarlo y levantar un servidor de correo. Mi carné de guapo, por favor.
#19 y tb quien es admin
#82 Lo mío era un comentario jocoso por el contenido de la noticia y tú nick... Un chiste fácil y en ningún caso una acusación formal.
#1 Ni falta que hace. Menéame lleva meses hackeado por los rusos...
¿Datos personales? ¿Qué datos personales?
#34 Y ahora también sabemos que eres un varón bajito de pelo blanco, en torno a 53 años, que vive en Chueca y está salido...
#105 Son optimistas si esperan que alguien pague
#146 Pues si, mi cuenta tiene mas de 10 años tambien y el ID que tiene esta bastante por encima de 250mil
#16 dices "como mucho" como si fuera poco. Con el email te logueas en cantidad de sitios, y la gente que usa la misma contraseña en todas partes, con el peligro que tiene, es mayoría.
#58 solo puede haber un god? bien puede ser que haya varios y a gallir lo hayan mantenido porque es el god autentico en caso de problema gordo.
#126 #121 No he visto que había hashes que no habían sido encriptados en SHA256. Por eso asumí en mi comentario que te referías a ese algoritmo, te pido perdón por mi error.
#32 Gallir ya tiene su email público en su página web, así que por hackear la base de datos mysql de menéame averiguas muchas cosas pero no su email que ya era conocido:
https://gallir.wordpress.com/about/
#93 Si tuviesen todo eso no hay dios que entre porque no se te entiende nada.
#92 md5 no es bueno, sha256 es mas seguro en teoria, desconozco si usaron una "sal" https://es.wikipedia.org/wiki/Sal_(criptograf%C3%ADa) al crearlos, pero por el enlace de git que han puesto mas arriba para la tabla, no parece.
Los hashes como md5 estan deprecados porque ya se han logrado colisiones, no hay que usarlos para almacenar autenticación.
Sha256 es seguro en teoria, pero su función es ser eficiente en sacar un digest sobre el texto a hashear, por lo que es "rápido" para ataques de fuerza bruta.
La mejor soluciíón es saltear los paswords y usar un algoritmo creado especificamente para passwords, como Argon2.
Saltear el hash, es decir, añadir una cadena conocida a la contraseña a cifrar que se almacena a parte, evita que se puedan usar tablas precalculadas de hashes.
Algoritmos como Argon2 están pensados para hashear passwords, en ved de eficientes son costosos, de forma que dificultan muchisimo ataques de fuerza bruta.
El problema es que pueden comparar el dump con tablas de hashes conocidos y obtener la contraseña que genera el hash si no estaba salteada, o incluso en el caso de md5 obtener un password equivalente aun estando salteada encontrando una colision (bastante dificil).
#3 Hay un campo de la tabla (el octavo) que claramente se llama user_karma, y
Es esta tabla: meneame.net
#30 pues pide 200€, no muy caro
#5 A mi también, he flipado un poco.
#6 Se pueden hacer bastantes análisis por ejemplo de multicuentas ya que la gente es muy cenutria y tendrá en todos sus bots con la misma contraseña.
#93 he leído hasta el final para saber si te lo estabas inventando (por tanta sigla y tal). Como si hubiera leído un texto en alemán del siglo IV.
#26 Las contraseñas están encriptadas.
#31 si te fijas,gallir tiene la cuenta modo "GOD" a saber de cuando es la tabla.
#37 Varchar, obviamente...
#203 El dominio "ozu.es" todavía existe y es de alguien, pues tiene un registro DNS asociado, lo que no existe es el servicio de correo. Lo que dice #237 es correcto, pero un dominio con solera como ese es lógico que esté todavía cogido.
#6 salvo que alguien ponga datos reales (nombre, ...) sobre todo, las IPs habituales desde las que conectas y la identificación del tipo de equipo y navegador que usas
#14 El email que utilizo es una dirección 'falsa' que solo utilizo para Menéame así que...
Le han hecho un deface?!?! A no... que es la nueva versión de la interfaz.
#2 Decían que era para enviarnos unos mariachis.
Con los usuarios que tienen solo han recogido para grabarnos un CD pirata de rancheras y enviarlo por correo ordinario.
#24 pregúntaselo a su cuenta principal,@beltenebros.
#45 #6 Es que estaría cojonudo que estuvieran ahí como texto plano
#89 #59 Ya te digo, si tienen la tabla "accounts" tienen todas la tablas de la Base de Datos
Pues nada, solo falta que alguien con 200€ de sobra quiera hacer un artículo sobre astroturfing, sacar quienes son los famosos admin y cuentas reservadas etc.
Ya te digo yo que algún tuitero de extremo centro es capaz con tal de vengarse.
#105
Como curiosidad el archivo tiene 25000 lineas, quizás con eso se pueda estimar la fecha del leak
#71 Los usuarios no, pero el programador si. Sólo hay que inyectar el código adecuado.
#162 555porelculotelahinco
#163 Te la hinco, que diga, te la compro
#2 No hace falta. Las brechas de seguridad son inversamente proporcionales a la bolsa de cacahuetes con la que pagan a los "nuevos" (y "excelentes") programadores.
#123 pone en la captura el tipo de hash que usa:
Username,Email,Password(MD5 + SHA2-256 50/50 Mix)
#89 lo que faltaba, encima es una vaga que ni hace copias.
#192 meneame.net
#45 A los que tienen md5 es como si estuviera en texto plano.
Hay que darle total credibilidad a este tuiter. Si alguien lo publicado ahí es que tiene que ser cierto.
#52 Con una inyección SQL.
#141 a mí me pasó eso en ForoCoches
#150 si, entiendo que el ritmo de crecimiento fue mayor en 2007-2009 que en 2005-2007. Pero bueno, tampoco sé si los ID son correlativos, si hay huecos, qué pasa cuando se da de baja un usuario etc etc
#146 Se ve en un usuario que modificó su cuenta en 2021 (es el campo user_modification). Así que no es tan viejo.
También estuve comprobando el karma de varios de los usuarios que se ven en la captura y coinciden con los que tienen ahora. Pero creo que eso no indica mucho (realmente no lo se), porque parece que son usuarios que hace mucho que no interactúan en la web.
¿La cuenta premium está segura?
#2 Esos de mediatice son los mismos de MNM. una burda estrategia
#20 Normal que sea de usar y tirar.... para hacer clones.... Tu cuenta tiene dos días.