Portada
mis comunidades
otras secciones
#6:
#4 no sé si tendrá algo que ver, pero en una empresa que su valor es la tecnología y su volumen de usuarios ( realmente sus datos personales) parece mala idea mandar a prácticamente la totalidad de los técnicos ( devels y sysadmins) a la calle sin ni siquiera cumplir la legalidad. Vamos, que es pura estadística que salga algún extrabajador vengativo y con la capacidad de hacerlo.
De hecho poco me parece esta fuga de datos para la que se puede liar.
De hecho poco me parece esta fuga de datos para la que se puede liar.
#46:
#5 ¿Qué tiene de malo? ¿Si fuera Gmail seria mejor? Tengo Gmail desde que era por invitación y Hotmail desde mucho antes y para mi hoy en dia Hotmail es mucho superior en usabilidad a Gmail. Cuando me pasé a Gmail usaba ese como cosas serias e importantes y Hotmail para chorradas y posibles spam, hace años hice lo contrario y me volví a Hotmail.
#2:
Cara Delevigne debe estar recibiendo una avalancha de fotopollas a estas horas
Comentarios
#9 Basta con uno...
#12 Eso sí, explicaba porque no es tan sorprendente que no pase casi nada para la que se puede liar.
#6 Creo que si fue legal con la ley de California en la mano. De no serlo, en un país enel, que tanto les gusta litigar, hubieramos visto decenas de post de abogados diciendo por qué no lo es (y que contanten con ellos quienes hayan sido despedidos de esa manara, que por un porcentaje dela indemnización ellos se hacen cargo de conseguirlas).
#12 #18 No parece un trabajador vengativo. #37 En el hilo dicen que esta vulenrabilidad fue parcheada a comienzos de 2022, por lo que los datos son de 2021 o principoios de este año, anterior a que Elon Musk comprase twitter.
#42 El problema, por supuesto, es que sí, para los trabajadores que estén en Cali puede ser legal, pero en España, o en Alemania, o en cualquier otro país con leyes más garantistas eso de "DESPEDIDO, PORQUE SI, Y NO TE DOY NI UN DURO PORQUE SOY IRON MAN JAJAJAJ" no funciona
Cara Delevigne debe estar recibiendo una avalancha de fotopollas a estas horas
#2 Pues controlate un poco y diversifica
Seguro que le da un asco enorme, y lo reflejará en su cara, aunque siga igual
Enlace a Wayback Machine por si retiran el hilo: https://web.archive.org/web/20221225145930/https://breached.vc/Thread-Selling-Twitter-Data-Breach-400-million-users
#29
Hay muchas razones. Una muy común es recuperar bases de datos con credenciales para poder usarlas en otros sitios, como Steam, Spotify etc, donde hayan usado los mismos credenciales.
Otra típica es "para fardar/ganar status" en tu "crew/grupo".
Otra, típica es obtener datos privados de celebridades o personas importantes, que luego puedes usar para muchas cosas. Como por ejemplo, vender esos datos, o usarlos para ganar influencia de distintas maneras.
También es común vender esos datos a terceros que los usan para estafas o engaños, donde la información privilegiada es útil.
Mal año de ara Elon Musk, compra caro y ahora le felicitan.
#4 no sé si tendrá algo que ver, pero en una empresa que su valor es la tecnología y su volumen de usuarios ( realmente sus datos personales) parece mala idea mandar a prácticamente la totalidad de los técnicos ( devels y sysadmins) a la calle sin ni siquiera cumplir la legalidad. Vamos, que es pura estadística que salga algún extrabajador vengativo y con la capacidad de hacerlo.
De hecho poco me parece esta fuga de datos para la que se puede liar.
#6 Muy poca gente tiene los "huevos" que hay que tener par a hacer eso.
#6 Eso o simplemente que encontraron una vulnerabilidad nueva y como no tienen a nadie o casi nadie que se ocupe de la seguridad... pues queda sin parchear ni nada...
#33 Pues parece que ni uno ni lo otro... porque según dice el pavo, el "breach" fué a principios de año:
"Twitter patched this in early 2022 so breach data is
2021 to 2022"
... si todo eso es verdad... claro... porque vete a saber si el "breach" es, incluso, verdad...
#36 la.....brecha?
#36 supongo que la multa se la seguiría comiendo el Musk aunque fuera por una vulnerabilidad anterior a su compra.
#6 es muy raro que con los 50 trabajadores que aún quedan en Twitter no se haya arreglado todo el código como pretendía Musk ¿Qué habrá pasado?
#6 La figura del disgrunted employee es un riesgo que se supone twitter debería tener dentro de sus protocolos de seguridad incluso antes de los despidos masivos. De todas maneras en este caso, y por la fuente, que es un vertedero de cosas leakeadas dudo bastante que esto provenga de una filtración interna.
#6 fuck elon ha llegado para defenestrar twitter. al tiempo. todo sigue su curso.
#4 fuck elon, twitter no ha hecho si no empeorar desde que metió sus garras
Pero quedaban tantos usuarios en Twitter? No se habían ido todos a Mastodon?
#8 También estarán en esa lista los que se han ido.
leer con voz de niño de san ildefonso; 25122022.... 400 milloneees de cueeenntaaaas.
#19 ...135 mil bitcoooinnsss
Twitter patched this in early 2022 so breach data is
2021 to 2022
#23 pues no dijo nada el muy cabron
#16 Todo depende de cómo se formulen las preguntas...
#28 Pues deberías saber que al otro lado podría haber alguien monitorizando tu acceso.
La alarma obviamente no te salta al atacante sino al que monitoriza el sistema.
#31 Sí, el comentario ése de "nunca ha saltado alarma" no tiene el menor sentido... sólo alguien que no sabe nada de seguridad podría decir algo así...
#35 #31 Crees que no se nada de seguridad? podemos charlar aquí en los comentarios, a ver quien no tiene ni idea de seguridad.
Llevo en esto mas de 20 años, y meneame lo hackee con 18 añitos, robé toda la base de datos y no saltó ninguna alarma. Aún recuerdo la contraseña de Ricardo, ya que las contraseñas por aquel entonces estaban en claro
Después de eso he hackeado muchas cosas, y luego he hecho muchísimas auditorias de seguridad legales. Dime que alarma salta cuando explotas una vulnerabilidad y te descargas una base de datos dentro del payload de respuesta de un servicio web, como lo es twitter.
Quedo esperando atentamente tu respuesta, ya que literalmente en ninguna empresa del mundo he visto nunca ninguna "alarma" de esas que hablas.
Me gustaría que me menciones tecnologías específicas con nombres, para que pueda aceptar mi ignorancia. Y ojo, se que hay sistemas de detección de intrusiones, pero con un ataque a medida como este y bien realizado, nada de eso te va a servir para nada, por que distinguir un payload adecuado de uno inadecuado es un problema mucho mas complejo de lo que creo estáis pensando, lo cual me delata que vosotros si que no tenéis ni idea de seguridad
Y sobre una supuesta alarma que "salta" pero que no impide el volcado de la base de datos, ya sería absurdo, ya que el volcado de la base de datos es de los peores escenarios posibles, y cualquier supuesta "alarma" (aun estoy esperando un nombre de esas "alarmas") que detecte eso, lo inteligente sería que lo impidiese, no que escriba un log en "no se donde". ¿para que sirve ese log?
Todos los hackeos decentes como este de twitter se hacen por tor mínimo, normalmente con sistemas tipo whonix. Una alarma que salta y que no impide el volcado es una soberana tontería. Obviamente es mejor que nada, pero ya que tienes una "alarma mágica" lo suyo sería que impidiese el volcado.
Pues deberías saber que al otro lado podría haber alguien monitorizando tu acceso.
Cuentame detalles sobre como sería esa monitorización por favor, ya que me dedico a la seguridad y nunca he visto algo como lo que comentas. Ni por mi parte, ni por parte de ningún proveedor de seguridad. He trabajado con muchas empresas de España de seguridad, y lo que venden son cosas muy distintas, pero esta alarma "mágica" no la he visto nunca
#35 Yo sí me creo que sepa de seguridad, pero desde el lado del atacante. Normalmente conocer lo que ocurre al otro lado es importante para poder atacar, pero no es un requisito y además incluso puede ser una ventaja ya que se piensa de una manera distinta que posiblemente a nadie que conozca la defensa se le ocurriría.
Un ladrón puede ser muy bueno, y haber conseguido entrar en bastantes lugares, pero no puede decir que las cámaras de seguridad no existen por el hecho de que haya atacado lugares donde no existían o donde nadie las vigilaba.
#40 Yo no he trabajado específicamente en seguridad, pero sí en algunas cosas de monitorización.
Una base de datos entera puede tener un volumen considerable, para mi una alarma se podría configurar para cuando se realiza un volcado grande. También transmitir por payload grandes cantidades de datos. O en muchos casos directamente peticiones desde un mismo destino.
Claro que tiene sentido escribirlo en un log. Salta la alarma, y una persona utiliza el log para hacer las comprobaciones oportunas. Como piensas, puede que sea demasiado tarde, pero se prefiere correr el riesgo de que sea un ataque a automatizarlo y que muchas falsas alarmas (que son la mayoría), te impidan el funcionamiento del sistema. Además que muchas cosas no puedes automatizar ya que requieren una toma de decisiones demasiado compleja y que requiere una respuesta humana.
No te voy a contar las tecnologías, sabes perfectamente buscar en Google.
#54
Yo sí me creo que sepa de seguridad, pero desde el lado del atacante. Normalmente conocer lo que ocurre al otro lado es importante para poder atacar, pero no es un requisito y además incluso puede ser una ventaja ya que se piensa de una manera distinta que posiblemente a nadie que conozca la defensa se le ocurriría.
He estado mas años en defensa que en ataque. Pero si, la reputación que tengo es por mis años en ataque, que me permiten comprender bien las cosas, en lugar de que todo sean teorías, como les pasa a los comentarios a los que yo respondía.
Yo no he trabajado específicamente en seguridad, pero sí en algunas cosas de monitorización.
Yo ahora mismo soy director de tecnología, y ese ha sido mi cargo en los últimos 10 años, en un par de empresas distintas. Todas fundadas por mi y mis socios. También he hecho de consultor de tecnología asesorando a empresas bastante grandes, como telefónica.
Una base de datos entera puede tener un volumen considerable, para mi una alarma se podría configurar para cuando se realiza un volcado grande.
Los volcados no se hacen de golpe, se hacen registro a registro, precisamente para evitar esto que comentas.
También transmitir por payload grandes cantidades de datos.
El problema que tienen las empresas es definir estas metricas. Las aplicaciones evolucionan sin parar, y estas cosas que comentas se quedan obsoletas enseguida, provocando falsos positivos sin parar, que el equipo ignora. En el 99% de las empresas tienen problemas de ingeniería muy por encima de esto, que les impiden hacer esto que comentas. Además, de que al descargar la base de datos registro a registro y usando sesiones nuevas cada vez, esto que comentas es casi imposible de detectar, y requeriría de una coordinación entre equipos que no he visto nunca, ni siquiera en empresas muy muy top.
O en muchos casos directamente peticiones desde un mismo destino.
Las aplicaciones web modernas hacen decenas/cientos de peticiones al cargar la página. Este tipo de filtros que comentas los he visto intentar implementar muchas veces, ninguna con éxito. Por eso, empresas reconocidas del sector español de seguridad no tienen todavía una solución que tu puedas comprar que haga eso. Por que tienen problemas de precision-recall que imposibilitan hacerlo.
Si que he instalado y configurado WAF (web application firewalls). Pero las normas son genéricas, e ir mas lejos que lo genérico es casi imposible, por que la naturaleza de la aplicación es compleja.
Claro que tiene sentido escribirlo en un log. Salta la alarma, y una persona utiliza el log para hacer las comprobaciones oportunas. Como piensas, puede que sea demasiado tarde, pero se prefiere correr el riesgo de que sea un ataque a automatizarlo y que muchas falsas alarmas (que son la mayoría), te impidan el funcionamiento del sistema.
Si, eso es genial, pero no sirve para impedir el volcado de la base de datos. Si te lees el hilo, verás que en el fondo me estás dando la razón. El robo de estos datos no tiene por que ser consecuencia de reducciones en mantenimiento. Si el sistema de seguridad se limita a escribir en un log, cualquier vulnerabilidad bien explotada permitirá que te roben la base de datos, y como mucho lo verás en un log. Un log que en twitter pesaría terabytes, y generaría entradas muy rápido. Donde separar el ruido de la señal llevaría tiempo, y solo sería útil para hacer análisis forense. No niego su utilidad, en para post-moterm es genial, pero para evitar el robo de la base de datos no sirve, que es lo que se argumentaba aquí, y de lo que viene la discusión.
Además que muchas cosas no puedes automatizar ya que requieren una toma de decisiones demasiado compleja y que requiere una respuesta humana.
Claro, lo cual permite el robo de bases de datos, por que la curva ROC de los sistema de detección está lejos de ser automatizable. Y como digo, su función es mas bien para análisis forense a posteriori (damage control y todo eso)
No te voy a contar las tecnologías, sabes perfectamente buscar en Google.
De nuevo, por que tengo razón. Las tecnologías que sugerían en los comentarios a los que yo contestaba simplemente no existen. Hablaban de "alarmas mágicas" que hubiesen impedido esto. Alarmas que no existen, y menos en una empresa con el volumen de datos de twitter.
Si quieres podemos hacer el típico google sheets, donde calculamos las peticiones por segundo que tiene twitter, la especificdad y sensibilidad (roc curve) alcanzable en un WAF ese tipo de entornos y sacamos enseguida que sería realista esperar del sistema. Y entenderás en 2 minutos que literalmente lo que decían los comentarios a lo que yo contestaba, es fantasía.
Yo entiendo que se quiere criticar a Elon, y seguramente con razón, pero si hay un tema que me apasiona y leo cosas que no son, me siento obligado a responder. Y si me contestan que "no tienes ni idea de seguridad", pues creo que lo lógico es que ponga a la gente en su sitio. Sobretodo por que esto lo lee mas gente, y me parece mal esparcir desinformación y bulos
#40 Podría haber una alarma por aumento de tráfico. Por ejemplo (real) te quieres descargar toda la hemeroteca de un periódico de mierda, con más de 100 años de historia y que solo visitan yayos. La alarma puede ser (de hecho era) un friki que en vez de abrir el mundo today (el periódico más leído en dicha redacción de mierda) mira las gráficas.
Esa alerta se puede automatizar (hay cientos de herramientas de detección de anomalías) aunque siempre vas a tener falsos positivos. Por ejemplo el 11S todo el mundo miraba noticias y eso provocó un tráfico anormalmente alto pero legítimo. El 11S es un ejemplo muy tocho pero siempre hay picos que no se corresponden con ningún régimen estacionario (día de la semana, hora del día,...).
Así que tienes toda la razón del mundo, aunque exista ese tipo de alertas, si haces un scraper que vaya aumentando la velocidad de crawler estos sistemas se la comen. Porque hay cierta tolerancia para no dar falsos positivos a lo loco y se adaptan a la tendencia de tráfico, por lo que un crawling que no vaya a sacazo se correspondería con un aumento legítimo de visitas. Además habiendo proxies para evitar throttling desde una cierta ip y que si usaba un fallo de seguirdad se estaba salto el paso de auténticación/autorización no va haber throttling por cuenta.... Creo que si que se podrían hacer cosas para detectar este tipo de anomalías (por ejemplo si el path de la petición cambia, cosa que con graphql no sucedería), pero a lo que está el kilo de ingeniero es muy posible que pagar la multa sea más barato.
#58
Creo que si que se podrían hacer cosas para detectar este tipo de anomalías (por ejemplo si el path de la petición cambia, cosa que con graphql no sucedería)
Se pueden hacer cosas, el problema es que son todo cosas muy avanzadas, a medida de cada caso, y que se rompen con los cambios al sistema.
pero a lo que está el kilo de ingeniero es muy posible que pagar la multa sea más barato.
Sobretodo teniendo en cuenta el tipo de ingeniero que necesitas para implementar y afinar sistemas tan complejos, a la par que los mantiene funcionando conforme la aplicación cambia.
No digo que no se pueda. Digo que no se hace, literalmente en ningún sitio. Y yo no lo sospecho, lo se por que he atacado muchísimo y también he securizado muchísimo, y se hasta donde llegan las cosas. Y todo el que viene del mundillo, como parece tu caso, entiende perfectamente lo que digo.
Luego, un montón de gente que no ha visto nunca estos sistemas de cerca, cree que hay alarmas mágicas y super modernas que protegen sus datos. Y ojalá fuese así, y ojalá yo pudiese engañarme creyendo que eso es así, pero no lo es.
jajaja, qué tonto es Musk. En una red seria como es MNM estas cosas no pasan...
#29 spam
¿el hijo de donald trump usando un correo de hotmail?
#5 ¿Te extraña?
#5 ¿Qué tiene de malo? ¿Si fuera Gmail seria mejor? Tengo Gmail desde que era por invitación y Hotmail desde mucho antes y para mi hoy en dia Hotmail es mucho superior en usabilidad a Gmail. Cuando me pasé a Gmail usaba ese como cosas serias e importantes y Hotmail para chorradas y posibles spam, hace años hice lo contrario y me volví a Hotmail.
Desde luego este no es el año de Piqué.
estos datos valen pasta, no se cuanto pueden pagar algunas compañias por todo el lote?
Pues ya he cambiado contraseña por si las moscas (teléfono jamás he metido)
Alguien se va a hartar de ver fotopollas como haya accedido a mi cuenta.
#7 El tema es que no las vaya "repartiendo" por todo Twitter y luego vayan a preguntarte a ti.
Está bien no usar esas cosas. Me la suda bastante. Y donde las uso (como aquí) con cuentas de correo temporales y cosas así.
#22 Nadie te dice que no han robado dos bases de datos y las han fusionado, Y tampoco te dicen que esos sean todos los datos que tienen de los usuarios.
#22 en otra BBDD robada quiero decir...
#29 Para hacer operaciónes de phising a medida, por ejemplo. Y operaciones de smshing. Por lo pronto tienen dos maneras complementarias de contactar con los ususarios de twitter para otros fraudes. De momento saben que esas cuentas de email y números de teléfono tienen alta posibilidad de estar activos.
Por otra parte saben que los usan para Twitter, por lo que pueden intentar suplantar a Twitter y será más creible que solo por email
Estas son las cosas que ocurren cuando dejas de invertir en el mantenimiento.
#10 Claro hombre claro, ha dejado de pagar a los guardias de seguridad jajaa.
Que el código de twitter de los chapuzas que había antes fuera un caos lleno de agujeros no tiene nada que ver.
Esto es porque "ha dejado de invertir" (según tú) claro que sí.
#21 Ningún código es perfecto, por eso es necesario invertir constantemente en seguridad.
Los accesos al sistema deben de ser monitorizados y supervisados. Si te empiezan a volcar el contenido completo de la base de datos, deberían de saltar literalmente las alarmas.
#25 me dedico al hacking. He robado (legalmente hoy en día, ilegalmente en el pasado lejano) miles de bases de datos. Nunca ha saltado ninguna alarma de nada.
De qué tipo de alarmas hablas?
#28
Muy interesante.
Aunque creo saber la respuesta, podrías explicar para qué quieren los hackers bases de datos en los que no hay datos de cuentas bancarias.
#29 Para obtener accesos vía phishing u otras técnicas a empresas/personas/grupos más o menos importantes según qué grupo se haga con los datos.
La recolección de información es el primer paso.
#21 ¿Esta filtración es culpa de Musk? No.
¿Si no dedicas presupuesto y mucha gente a modernizar el código, detectar vulnerabilidades y corregirlas te va a pasar esto? Sí, y cosas peores...
Joder... La multa por GDPR puede ser una risa... ¿Alguien dijo que no iba a vender más acciones de Tesla?
Por otro lado, vaya mierda... Otra vez más los teléfonos y correos bien juntitos en una misma BBDD...
#15 y por qué no iban a estar en la BBDD esos datos?
Cómo no puedo acceder a mi cuenta de Twitter, como que me da igual esto... He olvidado el nombre de usuario con el que me registré, y no puedo recuperarlo.
spam