Numerosos comentarios en twitter dicen que se han hecho cargos sin su consentimiento y que podría ser por un hackeo de la web de compras online PCComponentes. A las 13:05 PcComponentes ha respondido y afirma de manera preliminar que las compras fraudulentas han sido realizadas a través de hackeos de terceros y recomiendan establecer contraseñas alfanuméricas. Otra fuente: https://hardzone.es/2018/06/03/pccomponentes-hackeada-compras-fraudulentas/
Hola!Te confirmamos que no ha habido ninguna vulnerabilidad en el sistema, es totalmente seguro. Las cuentas que han sufrido pedidos fraudulentos han sido hackeos a los propios clientes a través de terceros ajenos a Pc, recomendamos que instaures claves más seguras alfanuméricas.
#15:
Voy a ser crítico con ellos aunque use sus servicios desde hace la tierra de años.
Si me pides que guarde todos mis datos de la tarjeta, incluido el CCV, en mi perfil, en lugar de pasar el token a la plataforma de banca, no esperes que te los de.
Al final es cuestión de tiempo que te la acaben liando.
Sinceramente creo que, por mucho que digan, se les han colado a ellos.
No tendría sentido que dijeran que ahora desvinculan las tarjetas de las cuentas de cliente.
#12:
#6 Que un sitio que tiene almacenados números de tarjetas no bloquee ataques de fuerza bruta es un poco así... Además tal y como has copiado en #4: "hackeos a los propios clientes a través de terceros": pues como todos los crackeos (vamos a intentar usar (aunque ya no se puede) hack y crack bien ), si fuese por parte de la empresa sería un timo/robo, si fuese el cliente, pues una compra, y cuando es un tercero, pues eso, una violación del sistema, crack o lo que sea. Que sea ataque de fuerza bruta, inyección de código o vulnerabilidad, al final es lo mismo, un sistema inseguro y de eso se trata. Supongo que el interés de que lo descartes vendrá de quien tiene intereses, precisamente.
#7:
#5 No me parece errónea y puede ser información útil para quien tenga sus datos de tarjeta ahí. El titular dice "podría", y por lo que dice un comentario de la noticia la tienda también ha tomado medidas (no sé si como medida de prevención o de contingencia):
"Por lo pronto como medida de seguridad han quitado tarjetas vinculadas"
#10:
#8 En este tipo de robos creo que normalmente ponen la dirección de un sitio público o una dirección que saben que no hay nadie para que el repartidor les llame por teléfono y quedar en la calle.
#14:
#1 La primera el que la escribió no tenía mucha idea de que es AWS. Los hackeos fueron a compañías que usaban AWS, no a AWS o a cualquiera de sus servicios, si tu contratas AWS e instalas servicios no seguros es tu problema no el de Amazon. Esto mismo le pasó a Tesla a principios de año por tener mal configurados sus sistemas y dejar un acceso a sus servidores sin protección.
Y el segundo simplemente hubo un error de seguridad y Amazon pidió a los usuarios resetear los passwords, de ahí a escribir el titular que ponen va un trecho, sensacionalismo de manual.
Vamos, artículos de poca calidad y sin tener claro de lo que hablan.
Hola!Te confirmamos que no ha habido ninguna vulnerabilidad en el sistema, es totalmente seguro. Las cuentas que han sufrido pedidos fraudulentos han sido hackeos a los propios clientes a través de terceros ajenos a Pc, recomendamos que instaures claves más seguras alfanuméricas.
#5 No realmente, ya que un gran número de usuarios ha sido hackeado, no pccomponentes en sí pero si un gran número de sus usuarios, por lo que dicen es por debilidad en contraseñas y probablemente por debilidad ante ataques bruteforce en su web. Recomiendan cambiar contraseña alfanumérica.
¿Puedo autodescartarla más adelante? Para esperar como acontece/evoluciona. He modificado el título.
#6 Que un sitio que tiene almacenados números de tarjetas no bloquee ataques de fuerza bruta es un poco así... Además tal y como has copiado en #4: "hackeos a los propios clientes a través de terceros": pues como todos los crackeos (vamos a intentar usar (aunque ya no se puede) hack y crack bien ), si fuese por parte de la empresa sería un timo/robo, si fuese el cliente, pues una compra, y cuando es un tercero, pues eso, una violación del sistema, crack o lo que sea. Que sea ataque de fuerza bruta, inyección de código o vulnerabilidad, al final es lo mismo, un sistema inseguro y de eso se trata. Supongo que el interés de que lo descartes vendrá de quien tiene intereses, precisamente.
#12 Yo, si dicen por terceros entiendo lo primero phishing. Que los usuarios se han creido que estaban haciendo algo en PC-Componentes y no, era una web fraudulenta.
La noticia tal y como esta redactada ahora mismo es casi erronea... (No existe el menor comunicado de PCComponentes al respecto y lo están solventando, pidiendo...) y algo sensacionalista ("La tienda informática, de momento, se limita a decir que no ha sufrido ningún tipo de hackeo o ataque informático, pero parece bastante poco creíble.")
Hace años que no soy usuario, voy a cambiar contraseña y por ahi, por si acaso aunque no tendran ni mi tarjeta actual, pero por si acaso...
#29#6#12 Da igual lo complicada que pongas la contraseña, posiblemente no es una ataque por fuerza bruta.
Me la juego y digo que todos esos a los que han hackeado utilizan el mismo email y contraseña para registrarse en infinidad de sitios.
Ahora, pueden pasar dos cosas, que hayan hackeado uno de esos sitios donde tenias ese usuario y contraseña, ya la contraseña además la guarden sin encriptar. O que directamente te hayas registrado en un sitio controlado por uno de los "hackers" y al registrarte ya tiene tu email y contraseña o solo tiene que empezar a probar logins.
Por lo que la fortaleza o debilidad del contraseña es una gilipollez si usas la misma para registrarte en cualquier sitio.
#6 La debilidad de las contraseñas es en buena parte responsabilidad también de la tienda. No hay nada más fácil que forzar a tener una contraseña más compleja o al menos checkear la conexión desde dispositivos desconocidos con un aviso de email, como hace google.
El problema es que no quieren que sus usuarios las olviden fácilmente y bajen los accesos por ello. Tienen que jugar en un limbo entre la accesibilidad y la seguridad.
Yo lo que recomiendo siempre es que para compras de internet, se usen tarjetas monedero. Evitan muchos disgustos.
#5 No me parece errónea y puede ser información útil para quien tenga sus datos de tarjeta ahí. El titular dice "podría", y por lo que dice un comentario de la noticia la tienda también ha tomado medidas (no sé si como medida de prevención o de contingencia):
"Por lo pronto como medida de seguridad han quitado tarjetas vinculadas"
#17 Nene, los gremios del medievo hace tiempo que han sido superados. Hoy tenemos un mundo globalizado, por motivo de la increíble evolución de la tecnología de comunicaciones y el transporte. O te adaptas, o mueres. Evoluciona.
#22 Eso que dices es una tontada. Si es cierto que las contraseñas han sido robadas de otro servicio, el ataque consiste en usar el mismo email y la misma contraseña para loguear en pccomponentes. Si el usuario que hay detrás es el típico que usa la misma contraseña en todas partes, pues está jodido, y ni con salt ni con pollas en vinagre, evitas este "ataque".
#30 Si las contraseñas han sido robadas de otro servicio da exactamente igual que sean alfanuméricas.
Sin embargo, la solución que ofrece PCComponentes es "implementar contraseñas más seguras".
#35 si tienes almacenado el hash, como es habitual, lo normal es hacer ataques de diccionario contra ese hash. Si la contraseña es larga y / o no es atacable por diccionario, es más complicado conseguir sacarla.
#30 nene, pues que te paguen la seguridad social y la sanidad pública los fondos de inversion, como los q crean monstruos como este o Amazon, que no declaran en España y evaden impuestos.ja.ja.ja.
O te adaptas o mueres dices, pues morirás en tu caso pero eso si, rodeado de montañas de cacharros tecnologicos baratos.
#41 Pccomponentes es española, está en murcia. Asumo que tributa aquí, salvo que tú demuestres lo contrario. Amazon, y todas las empreas internacionales tipo alibaba, son otro tema; y si defraudan es porque europa lo consiente y a que a los compradores se la pela que su dinero no se reinvierta en su propio país con tal de ahorrarse cuatro euros (la gente es gilipollas). Ahora están empezando a obligar tributar con el IVA de donde envías la mercancía, en vez de donde sale, así que el fraude legal se les complicará
#22 No veo en que te ayuda añadir sal aquí. La sal es para si te roban el hash, les sea más difícil averiguar la contraseña atacando ese hash a base de fuerza bruta. No es el caso, aquí no han robado ningún hash de PC Componentes.
Recomiendan contraseñas alfanuméricas para que no pongas "123456" y un atacante aplicando fuerza bruta contra el sistema de login de PC Componentes no entre en tu cuenta en cinco segundos porque tu contraseña es así de débil. Aunque lo mismo ocurriría si usases una contraseña alfanumérica, pero tan corta como "1a", dos caracteres, ni cinco segundos.
Aquí lo preocupante no es si tienen o no tienen salteado el hash, que no lo sabemos, aquí lo preocupante es que si recomiendan contraseñas alfanuméricas lo mismo no tienen ninguna medida contra ataques de fuerza bruta, porque si lo tuviesen, da igual que tu contraseña sea tan simple como cuatro números, si al tercer intento te expulsan. Aunque la contraseña sea así de simple, en tres intentos es casi imposible que den con ella.
Así que lo mismo es que no tienen nada contra la fuerza bruta y eso es un error.
#4 ¿Soy el único que ve raro decir que tiene que ver con terceros y recomendar usar claves más seguras a los usuarios? PCComponentes ha tardado más de 24 horas en decir algo, es más, han pasado de los usuarios que hacían reclamaciones en redes sociales, mientras daban bombo a su sorteo. Lamentable lo de PCComponentes.
#2#4#15#25#46 Pccomponentes Ha vuelto a pronunciarse. Dicen que ha sucedido por usuarios que utilizaban misma contraseña y email que en otros sitios webs, los cuales fueron hackeados en el pasado. Con ello han accedido con esas credenciales y al tener guardada la tarjeta de crédito, han hecho compras con ella. Lo bueno es que han retrocedido todas las operaciones pero me parece bastante inseguro que permitan hacer compras directas sin una segunda validación.
Voy a ser crítico con ellos aunque use sus servicios desde hace la tierra de años.
Si me pides que guarde todos mis datos de la tarjeta, incluido el CCV, en mi perfil, en lugar de pasar el token a la plataforma de banca, no esperes que te los de.
Al final es cuestión de tiempo que te la acaben liando.
Sinceramente creo que, por mucho que digan, se les han colado a ellos.
No tendría sentido que dijeran que ahora desvinculan las tarjetas de las cuentas de cliente.
#15 Yo jamás he tenido el CCV en PCComponentes (ni en ningún otro sitio) y tenía la tarjeta y tengo varios miles de euros en compras.
En cualquier caso quien guarda el CCV en cualquier web o aplicación está pidiendo a gritos que le roben.
No se puede tener seguridad y comodidad. Si escoges comodidad tienes que saber que es siempre a costa de la seguridad.
#24 pues entonces me tendré que comer con patatas que se les han colado a ellos, no hay problema.
Pero que alguien me justifique que ventaja ofrece guardar todos los datos de la tarjeta.
Aún así, lo de desvincular las tarjetas si no te han entrado es cuando menos sospechar.
#27 No me queda claro que se lo hayan colado a ellos.
¿No puede haber sido phising?
No ofrece ninguna ventaja. Son cosas que los clientes (vagos) quieren.
Y para vender, las empresas tienen que darle a los clientes lo que quieren. Así sean unas cuchillas para cortarse las venas.
#15 Eso me pasó a mí, que sin pasarela de pago me lo cobraron de la tarjeta y les dije en un ticket ¿es así? Me contestaron que sí, que así lo hacen ellos.
Pues qué quieres que te diga...
#44 no es una tarjeta de prepago, sino de debito.
Ventajas:
si la pierdo no pasa nada, la pasta esta en la cuenta no en la tarjeta.
El importe maximo acumulado de pago diario/semanal/mensual es flexible, lo puedo modular con el banco.
Mi mujer tiene otra igual vinculada a la misma cuenta y por tanto saldo.
#49 Pues la prepago es mejor aun. No tiene acceso a tu cuenta bancaria, pero puedes recargarla "manualmente" con el dinero que quieras.
Por ejemplo, meto 200€ en mi tarjeta prepago, y me compro una TV de 190€. Pues si alguien me roba la tarjeta, solo va a tener acceso a 10€. Y el resto de mi dinero, sigue en mi cuenta corriente y lo puedo sacar del cajero normalmente.
#1 La primera el que la escribió no tenía mucha idea de que es AWS. Los hackeos fueron a compañías que usaban AWS, no a AWS o a cualquiera de sus servicios, si tu contratas AWS e instalas servicios no seguros es tu problema no el de Amazon. Esto mismo le pasó a Tesla a principios de año por tener mal configurados sus sistemas y dejar un acceso a sus servidores sin protección.
Y el segundo simplemente hubo un error de seguridad y Amazon pidió a los usuarios resetear los passwords, de ahí a escribir el titular que ponen va un trecho, sensacionalismo de manual.
Vamos, artículos de poca calidad y sin tener claro de lo que hablan.
#1 Doy fe. Hará un mes me cambiaron el correo asociado a mi cuenta. Básicamente me robaron la cuenta. Por suerte me lo solucionaron en menos de 6 horas, pero el mosqueo no me lo quita nadie.
Con la RPGD en la mano, que la estrenen calcándoles un multazo del 4% de la facturacion anual
a ver ahora como demuestran que los datos no han salido de sus sistemas.
Por otra parte, me alegro infinito que le fundan la vida a estos hijos de puta que junto con Amazon, son instrumentos del capital riesgo para hundirle la vida a miles y miles de tiendas de barrio, ya que venden practicamente a coste,o a pérdida en ocasiones, haciendo un dumping brutal para eliminar toda competencia. Yo creo que han esperado a que saliera la RGPD la semana pasada para esta acción.
Recuerdo haber hablado con el chaval que la monto alla por el 2013 por msn, no tenia pinta de ser un engominado y encorbatado, lastima que ya no recuerdo quien era y perdi el contacto con esa persona, pero si te puedo decir que se trataba de un pequeño webmaster que ante un cambio en el sector de la publicidad online decidio meterse en ese negocio.
Pero bueno, aqui ya sabemos todo lo que pasa, que todo el que triunfa y gana dinero trabajando tenemos que apedrearlo, todos iguales aunque sea cortandole las piernas al que corre mas.
Que ha pasado con pccomponentes? se me ocurren las siguientes opciones.
-Phising, que los usuarios hayan metido su usuario y contraseña en una web falsa, no es culpa de pccomponentes.
-Virus usados para robar contraseñas, roban las claves de cuentas de correo, paypal, registradores de dominios, bancos y tiendas online conocidas, esas contraseñas se venden "al peso" (bases de datos con cientos o miles de cuentas) en darknet. Tampoco es culpa de PCC que te cuelen un virus.
No creo que almacenen el CVV de la tarjeta porque Visa lo prohibe, lo mas probable es que de forma transparente se envien los datos al procesador de pagos y la tienda guarde un token, ese token le permite realizar nuevos cargos en la tarjeta, asi funciona en multitud de sitios, la tienda no tiene la tarjeta, solo un identificador que le permite decirle al banco o procesadora de pagos "realiza un cargo de X € a la tarjeta con el IDxxxxxx", ese token solo es valido para esa tienda y no le permite a un tercero comprar en otro sitio.
Ahora bien, si te roban el usuario y contraseña de pccomponentes, o el de tu correo y ven que compras en pccomponentes, piden la contraseña perdida a tu correo desde tu correo hackeado, entran en pccomponentes y cambian los datos de entrega de los pedidos a su direccion, compran lo que quieran y te lo cargan a ti.
La culpa es de pccomponentes? del servicio de email? del usuario por no usar antivirus? la culpa primera es del delincuente que comete el delito.
#43 PCcompontes por no realizar un Risck Scoring al usar tokens de tarjeta, tan sencillo como desactivar dicha 'funcionalidad' si el datos destino es nuevo / distinto a previas compras o patrones de compra distintos,etc..etc..etc..
#45 efectivamente, eso tambien se puede considerar un fallo y lo van a sufrir cuando reciban la retrocesion de los pagos con tarjeta, son pagos no presenciales y no estan cubiertos por el "Verified by Visa" o el securecode de mastercard, los usuarios que reclamen esos pagos recuperaran su dinero con un tramite relativamente sencillo, el susto no te lo quita nadie y el perder un par de horas entre visita a comisaria y tramite en el banco tampoco es plato de gusto pero el dinero volvera a su cuenta.
pccomponentes tendra que replantearse los metodos de validacion de las ventas y la conveniencia o no de pasar todas las ventas por el tpv del banco para mayor seguridad a costa de perder algunas ventas ya que no todas las tarjetas tienen habilitado el sistema de pago seguro por internet
¿Qué beneficio saca la persona que hace el hackeo? ¿No sería tan simple como ver la dirección de envío del pedido para acotar a dos o tres personas como el autor del robo?
#8 En este tipo de robos creo que normalmente ponen la dirección de un sitio público o una dirección que saben que no hay nadie para que el repartidor les llame por teléfono y quedar en la calle.
#18#8#10 Por lo general los pedidos se hacen al extranjero, y los paquetes se mandan a empresas públicas de recogida o a comercios especializados en estos timos (Rumanía, Georgia y demás). Por lo general las mafias operan en un montón de página webs diferentes.
Los encargados del hackeo no son los mismos que reciben los paquetes, es decir, les pagan por robar las cuentas, otros hacen pedidos otros recogen y vuelven a vender... El dinero queda repartido por un montón de sitios en varias organizaciones y es jodido cogerlos.
Cuando pillan a unos, no tiene ni idea de que pasos ( a veces ni se conocen) han hecho los demás.
Pero vete tú a saber, igual son ladrones patrios haciendo maldades.
Creo que dentro de poco se va a bajar la cantidad de la que se tiene que responsabilizar el usuario en caso de robo (en caso de no tener algún seguro de la tarjeta u otro que lo cubra en su totalidad) de 150 a 50 €, cuando el robo es mayor lo tiene que asumir el banco:
Mi pequeño análisis del tema: Si es un ataque a gran escala no ha sido por fuerza bruta, debido a que eso llevaría un gran número de horas así como un volumen de peticiones muy considerable. Sin más datos yo me inclino a pensar que lo que ha ocurrido es que se han usado las combinaciones email-contraseña de las bases de datos públicas que existen trás los hackeos a varias compañias hace unos años, entre ellas linkedin, yahoo, etc. Podría haber sido por medio de una campaña de phising, pero muchos de los webmails más conocidos van a detectar el correo como fraudulento y personalmente lo veo menos efectivo como para que se este hablando de un número considerable de usuarios.
Comentarios
Notificación de PCComponentes:
Hola!Te confirmamos que no ha habido ninguna vulnerabilidad en el sistema, es totalmente seguro. Las cuentas que han sufrido pedidos fraudulentos han sido hackeos a los propios clientes a través de terceros ajenos a Pc, recomendamos que instaures claves más seguras alfanuméricas.
#4 Entonces la noticia es errónea. Descártala tú msmo para no perder karma...
#5 No realmente, ya que un gran número de usuarios ha sido hackeado, no pccomponentes en sí pero si un gran número de sus usuarios, por lo que dicen es por debilidad en contraseñas y probablemente por debilidad ante ataques bruteforce en su web. Recomiendan cambiar contraseña alfanumérica.
¿Puedo autodescartarla más adelante? Para esperar como acontece/evoluciona. He modificado el título.
#6 Si mal no recuerdo son 20 minutos los que tienes para autodescartar siempre que no llegue a portada antes.
#6 Que un sitio que tiene almacenados números de tarjetas no bloquee ataques de fuerza bruta es un poco así... Además tal y como has copiado en #4: "hackeos a los propios clientes a través de terceros": pues como todos los crackeos (vamos a intentar usar (aunque ya no se puede) hack y crack bien ), si fuese por parte de la empresa sería un timo/robo, si fuese el cliente, pues una compra, y cuando es un tercero, pues eso, una violación del sistema, crack o lo que sea. Que sea ataque de fuerza bruta, inyección de código o vulnerabilidad, al final es lo mismo, un sistema inseguro y de eso se trata. Supongo que el interés de que lo descartes vendrá de quien tiene intereses, precisamente.
#12 Yo, si dicen por terceros entiendo lo primero phishing. Que los usuarios se han creido que estaban haciendo algo en PC-Componentes y no, era una web fraudulenta.
La noticia tal y como esta redactada ahora mismo es casi erronea... (No existe el menor comunicado de PCComponentes al respecto y lo están solventando, pidiendo...) y algo sensacionalista ("La tienda informática, de momento, se limita a decir que no ha sufrido ningún tipo de hackeo o ataque informático, pero parece bastante poco creíble.")
Hace años que no soy usuario, voy a cambiar contraseña y por ahi, por si acaso aunque no tendran ni mi tarjeta actual, pero por si acaso...
#29 #6 #12 Da igual lo complicada que pongas la contraseña, posiblemente no es una ataque por fuerza bruta.
Me la juego y digo que todos esos a los que han hackeado utilizan el mismo email y contraseña para registrarse en infinidad de sitios.
Ahora, pueden pasar dos cosas, que hayan hackeado uno de esos sitios donde tenias ese usuario y contraseña, ya la contraseña además la guarden sin encriptar. O que directamente te hayas registrado en un sitio controlado por uno de los "hackers" y al registrarte ya tiene tu email y contraseña o solo tiene que empezar a probar logins.
Por lo que la fortaleza o debilidad del contraseña es una gilipollez si usas la misma para registrarte en cualquier sitio.
#6 La debilidad de las contraseñas es en buena parte responsabilidad también de la tienda. No hay nada más fácil que forzar a tener una contraseña más compleja o al menos checkear la conexión desde dispositivos desconocidos con un aviso de email, como hace google.
El problema es que no quieren que sus usuarios las olviden fácilmente y bajen los accesos por ello. Tienen que jugar en un limbo entre la accesibilidad y la seguridad.
Yo lo que recomiendo siempre es que para compras de internet, se usen tarjetas monedero. Evitan muchos disgustos.
#5 No me parece errónea y puede ser información útil para quien tenga sus datos de tarjeta ahí. El titular dice "podría", y por lo que dice un comentario de la noticia la tienda también ha tomado medidas (no sé si como medida de prevención o de contingencia):
"Por lo pronto como medida de seguridad han quitado tarjetas vinculadas"
#4 Si es necesario que se cambie a contraseña alfanuméricas es que su plataforma no es segura.
Si añadieran una sal al registro de contraseña, como se tiene que hacer, no habría problemas de contraseñas.
Esta gente prefiere señalar al usuario en vez de reconocer que los que programaron su sistema eran unos inútiles.
https://es.m.wikipedia.org/wiki/Sal_(criptografía)
#17 Nene, los gremios del medievo hace tiempo que han sido superados. Hoy tenemos un mundo globalizado, por motivo de la increíble evolución de la tecnología de comunicaciones y el transporte. O te adaptas, o mueres. Evoluciona.
#22 Eso que dices es una tontada. Si es cierto que las contraseñas han sido robadas de otro servicio, el ataque consiste en usar el mismo email y la misma contraseña para loguear en pccomponentes. Si el usuario que hay detrás es el típico que usa la misma contraseña en todas partes, pues está jodido, y ni con salt ni con pollas en vinagre, evitas este "ataque".
#30 Si las contraseñas han sido robadas de otro servicio da exactamente igual que sean alfanuméricas.
Sin embargo, la solución que ofrece PCComponentes es "implementar contraseñas más seguras".
#35 si tienes almacenado el hash, como es habitual, lo normal es hacer ataques de diccionario contra ese hash. Si la contraseña es larga y / o no es atacable por diccionario, es más complicado conseguir sacarla.
#36 Pero no importa si tienes una sal almacenada en otro lugar. Hagan lo que hagan les falta la mitad de la contraseña, que además es aleatoria.
#30 nene, pues que te paguen la seguridad social y la sanidad pública los fondos de inversion, como los q crean monstruos como este o Amazon, que no declaran en España y evaden impuestos.ja.ja.ja.
O te adaptas o mueres dices, pues morirás en tu caso pero eso si, rodeado de montañas de cacharros tecnologicos baratos.
#41 Pccomponentes es española, está en murcia. Asumo que tributa aquí, salvo que tú demuestres lo contrario. Amazon, y todas las empreas internacionales tipo alibaba, son otro tema; y si defraudan es porque europa lo consiente y a que a los compradores se la pela que su dinero no se reinvierta en su propio país con tal de ahorrarse cuatro euros (la gente es gilipollas). Ahora están empezando a obligar tributar con el IVA de donde envías la mercancía, en vez de donde sale, así que el fraude legal se les complicará
#22 No veo en que te ayuda añadir sal aquí. La sal es para si te roban el hash, les sea más difícil averiguar la contraseña atacando ese hash a base de fuerza bruta. No es el caso, aquí no han robado ningún hash de PC Componentes.
Recomiendan contraseñas alfanuméricas para que no pongas "123456" y un atacante aplicando fuerza bruta contra el sistema de login de PC Componentes no entre en tu cuenta en cinco segundos porque tu contraseña es así de débil. Aunque lo mismo ocurriría si usases una contraseña alfanumérica, pero tan corta como "1a", dos caracteres, ni cinco segundos.
Aquí lo preocupante no es si tienen o no tienen salteado el hash, que no lo sabemos, aquí lo preocupante es que si recomiendan contraseñas alfanuméricas lo mismo no tienen ninguna medida contra ataques de fuerza bruta, porque si lo tuviesen, da igual que tu contraseña sea tan simple como cuatro números, si al tercer intento te expulsan. Aunque la contraseña sea así de simple, en tres intentos es casi imposible que den con ella.
Así que lo mismo es que no tienen nada contra la fuerza bruta y eso es un error.
#4 ¿Soy el único que ve raro decir que tiene que ver con terceros y recomendar usar claves más seguras a los usuarios? PCComponentes ha tardado más de 24 horas en decir algo, es más, han pasado de los usuarios que hacían reclamaciones en redes sociales, mientras daban bombo a su sorteo. Lamentable lo de PCComponentes.
#2 #4 #15 #25 #46 Pccomponentes Ha vuelto a pronunciarse. Dicen que ha sucedido por usuarios que utilizaban misma contraseña y email que en otros sitios webs, los cuales fueron hackeados en el pasado. Con ello han accedido con esas credenciales y al tener guardada la tarjeta de crédito, han hecho compras con ella. Lo bueno es que han retrocedido todas las operaciones pero me parece bastante inseguro que permitan hacer compras directas sin una segunda validación.
Enlace con info del update: https://hardzone.es/2018/06/04/pccomponetes-niega-ataque-web/
Voy a ser crítico con ellos aunque use sus servicios desde hace la tierra de años.
Si me pides que guarde todos mis datos de la tarjeta, incluido el CCV, en mi perfil, en lugar de pasar el token a la plataforma de banca, no esperes que te los de.
Al final es cuestión de tiempo que te la acaben liando.
Sinceramente creo que, por mucho que digan, se les han colado a ellos.
No tendría sentido que dijeran que ahora desvinculan las tarjetas de las cuentas de cliente.
#15 Yo jamás he tenido el CCV en PCComponentes (ni en ningún otro sitio) y tenía la tarjeta y tengo varios miles de euros en compras.
En cualquier caso quien guarda el CCV en cualquier web o aplicación está pidiendo a gritos que le roben.
No se puede tener seguridad y comodidad. Si escoges comodidad tienes que saber que es siempre a costa de la seguridad.
#24 pues entonces me tendré que comer con patatas que se les han colado a ellos, no hay problema.
Pero que alguien me justifique que ventaja ofrece guardar todos los datos de la tarjeta.
Aún así, lo de desvincular las tarjetas si no te han entrado es cuando menos sospechar.
#27 No me queda claro que se lo hayan colado a ellos.
¿No puede haber sido phising?
No ofrece ninguna ventaja. Son cosas que los clientes (vagos) quieren.
Y para vender, las empresas tienen que darle a los clientes lo que quieren. Así sean unas cuchillas para cortarse las venas.
#24 a mi también me ha ocurrido... y lo dije en la noticia de VIsA caída, me han soplado (el martes) 7.000 euros de la visa.
#15 Eso me pasó a mí, que sin pasarela de pago me lo cobraron de la tarjeta y les dije en un ticket ¿es así? Me contestaron que sí, que así lo hacen ellos.
Pues qué quieres que te diga...
Por eso nunca hay que darle a "recordar tarjeta de crédito" en ninguna web. Ni aunque sea de confianza.
#16 yo para eso uso una tarjeta de debito ligada a una cuenta cargada que solo pongo saldo cuando voy a pagar con ella.
#40 Correcto. Para eso sirven las tarjetas prepago.
#44 no es una tarjeta de prepago, sino de debito.
Ventajas:
si la pierdo no pasa nada, la pasta esta en la cuenta no en la tarjeta.
El importe maximo acumulado de pago diario/semanal/mensual es flexible, lo puedo modular con el banco.
Mi mujer tiene otra igual vinculada a la misma cuenta y por tanto saldo.
#49 Pues la prepago es mejor aun. No tiene acceso a tu cuenta bancaria, pero puedes recargarla "manualmente" con el dinero que quieras.
Por ejemplo, meto 200€ en mi tarjeta prepago, y me compro una TV de 190€. Pues si alguien me roba la tarjeta, solo va a tener acceso a 10€. Y el resto de mi dinero, sigue en mi cuenta corriente y lo puedo sacar del cajero normalmente.
#50 ¿Por qué no metes 190 €?
Bueno, eso a Amazon le pasa cada dos por tres. Bienvenido al club!!
https://www.criptonoticias.com/seguridad/amazon-sufre-hackeo-plataforma-software-parasito-minar-bitcoin/
https://www.minutouno.com/notas/1455685-hackean-cuentas-amazon-y-roban-sus-contrasenas
#1 No hace ni una semana me ocurrió con una cuenta de ebay que llevaba años sin usar.
#1 La primera el que la escribió no tenía mucha idea de que es AWS. Los hackeos fueron a compañías que usaban AWS, no a AWS o a cualquiera de sus servicios, si tu contratas AWS e instalas servicios no seguros es tu problema no el de Amazon. Esto mismo le pasó a Tesla a principios de año por tener mal configurados sus sistemas y dejar un acceso a sus servidores sin protección.
Y el segundo simplemente hubo un error de seguridad y Amazon pidió a los usuarios resetear los passwords, de ahí a escribir el titular que ponen va un trecho, sensacionalismo de manual.
Vamos, artículos de poca calidad y sin tener claro de lo que hablan.
#1 Doy fe. Hará un mes me cambiaron el correo asociado a mi cuenta. Básicamente me robaron la cuenta. Por suerte me lo solucionaron en menos de 6 horas, pero el mosqueo no me lo quita nadie.
A mi me parece más una campaña de phishing que otra cosa. Sea como sea, un cero para PCComponentes por la gestión del problema.
Otro enlace que hace eco de lo mismo: https://hardzone.es/2018/06/03/pccomponentes-hackeada-compras-fraudulentas/
Mierda web, mierda servicio, no me sorprende nada sinceramente
Con la RPGD en la mano, que la estrenen calcándoles un multazo del 4% de la facturacion anual
a ver ahora como demuestran que los datos no han salido de sus sistemas.
Por otra parte, me alegro infinito que le fundan la vida a estos hijos de puta que junto con Amazon, son instrumentos del capital riesgo para hundirle la vida a miles y miles de tiendas de barrio, ya que venden practicamente a coste,o a pérdida en ocasiones, haciendo un dumping brutal para eliminar toda competencia. Yo creo que han esperado a que saliera la RGPD la semana pasada para esta acción.
caña coño!! y denuncia a policia
#17 Ojala.
#17 Eso, para una empresa española que funciona como un reloj suizo vamos a cargárnosla.
#17 Cuando dices "la RGPD" supongo que quieres decir "el RGPD". Es un Reglamento.
#17 pccomponentes instrumento del capital riesgo?
Recuerdo haber hablado con el chaval que la monto alla por el 2013 por msn, no tenia pinta de ser un engominado y encorbatado, lastima que ya no recuerdo quien era y perdi el contacto con esa persona, pero si te puedo decir que se trataba de un pequeño webmaster que ante un cambio en el sector de la publicidad online decidio meterse en ese negocio.
Pero bueno, aqui ya sabemos todo lo que pasa, que todo el que triunfa y gana dinero trabajando tenemos que apedrearlo, todos iguales aunque sea cortandole las piernas al que corre mas.
Que ha pasado con pccomponentes? se me ocurren las siguientes opciones.
-Phising, que los usuarios hayan metido su usuario y contraseña en una web falsa, no es culpa de pccomponentes.
-Virus usados para robar contraseñas, roban las claves de cuentas de correo, paypal, registradores de dominios, bancos y tiendas online conocidas, esas contraseñas se venden "al peso" (bases de datos con cientos o miles de cuentas) en darknet. Tampoco es culpa de PCC que te cuelen un virus.
No creo que almacenen el CVV de la tarjeta porque Visa lo prohibe, lo mas probable es que de forma transparente se envien los datos al procesador de pagos y la tienda guarde un token, ese token le permite realizar nuevos cargos en la tarjeta, asi funciona en multitud de sitios, la tienda no tiene la tarjeta, solo un identificador que le permite decirle al banco o procesadora de pagos "realiza un cargo de X € a la tarjeta con el IDxxxxxx", ese token solo es valido para esa tienda y no le permite a un tercero comprar en otro sitio.
Ahora bien, si te roban el usuario y contraseña de pccomponentes, o el de tu correo y ven que compras en pccomponentes, piden la contraseña perdida a tu correo desde tu correo hackeado, entran en pccomponentes y cambian los datos de entrega de los pedidos a su direccion, compran lo que quieran y te lo cargan a ti.
La culpa es de pccomponentes? del servicio de email? del usuario por no usar antivirus? la culpa primera es del delincuente que comete el delito.
#43 PCcompontes por no realizar un Risck Scoring al usar tokens de tarjeta, tan sencillo como desactivar dicha 'funcionalidad' si el datos destino es nuevo / distinto a previas compras o patrones de compra distintos,etc..etc..etc..
#45 efectivamente, eso tambien se puede considerar un fallo y lo van a sufrir cuando reciban la retrocesion de los pagos con tarjeta, son pagos no presenciales y no estan cubiertos por el "Verified by Visa" o el securecode de mastercard, los usuarios que reclamen esos pagos recuperaran su dinero con un tramite relativamente sencillo, el susto no te lo quita nadie y el perder un par de horas entre visita a comisaria y tramite en el banco tampoco es plato de gusto pero el dinero volvera a su cuenta.
pccomponentes tendra que replantearse los metodos de validacion de las ventas y la conveniencia o no de pasar todas las ventas por el tpv del banco para mayor seguridad a costa de perder algunas ventas ya que no todas las tarjetas tienen habilitado el sistema de pago seguro por internet
¿Qué beneficio saca la persona que hace el hackeo? ¿No sería tan simple como ver la dirección de envío del pedido para acotar a dos o tres personas como el autor del robo?
#8 En este tipo de robos creo que normalmente ponen la dirección de un sitio público o una dirección que saben que no hay nadie para que el repartidor les llame por teléfono y quedar en la calle.
#10 Si el repartidor tiene el numero de teléfono del delincuente es que lo habrá notificado al hacer el pedido, por lo que se le puede rastrear igual.
A mí me también parece una chapuza, pero a lo mejor hay algo que se me escapa.
#18 #8 #10 Por lo general los pedidos se hacen al extranjero, y los paquetes se mandan a empresas públicas de recogida o a comercios especializados en estos timos (Rumanía, Georgia y demás). Por lo general las mafias operan en un montón de página webs diferentes.
Los encargados del hackeo no son los mismos que reciben los paquetes, es decir, les pagan por robar las cuentas, otros hacen pedidos otros recogen y vuelven a vender... El dinero queda repartido por un montón de sitios en varias organizaciones y es jodido cogerlos.
Cuando pillan a unos, no tiene ni idea de que pasos ( a veces ni se conocen) han hecho los demás.
Pero vete tú a saber, igual son ladrones patrios haciendo maldades.
#10 Calle Falsa, 123
Creo que dentro de poco se va a bajar la cantidad de la que se tiene que responsabilizar el usuario en caso de robo (en caso de no tener algún seguro de la tarjeta u otro que lo cubra en su totalidad) de 150 a 50 €, cuando el robo es mayor lo tiene que asumir el banco:
https://cincodias.elpais.com/cincodias/2017/12/22/companias/1513968227_798953.html
Hilo twitter:
Mi pequeño análisis del tema: Si es un ataque a gran escala no ha sido por fuerza bruta, debido a que eso llevaría un gran número de horas así como un volumen de peticiones muy considerable. Sin más datos yo me inclino a pensar que lo que ha ocurrido es que se han usado las combinaciones email-contraseña de las bases de datos públicas que existen trás los hackeos a varias compañias hace unos años, entre ellas linkedin, yahoo, etc. Podría haber sido por medio de una campaña de phising, pero muchos de los webmails más conocidos van a detectar el correo como fraudulento y personalmente lo veo menos efectivo como para que se este hablando de un número considerable de usuarios.