Portada
mis comunidades
otras secciones
#1:
"Queremos transmitiros tranquilidad porque este problema solo afecta a unos cuantos usuarios (un 17,43%)"
Me quedo mas tranquilo, solo afecta a uno de cada cinco usuarios
En breve tu cuenta en : https://haveibeenpwned.com/
Me quedo mas tranquilo, solo afecta a uno de cada cinco usuarios
En breve tu cuenta en : https://haveibeenpwned.com/
#4:
Enviad un mail a los afectados, si sabéis quiénes son ( somos)
#45:
#31 No, si lo han implementado correctamente (como es probable) puesto que necesitarían tener las keys oauth de meneame y enviar las peticiones de login desde la dirección que meneame a dado de alta en el oauth.
Basicamente cuando meneame "hace" login contra google lo que hace es mandarle unas claves (que son de la plataforma, no es una password de user) a un servidor de google desde una dirección concreta, por ejemplo oauth.meneame.net, eso lo que hace es que google te muestra a ti, nunca a la plataforma, la pantalla de login de google y tu haces login en google, una vez has hecho el login correcto contra google este le responde que el user es valido o no a meneame en donde este le haya dicho como por ejemplo oauth.meneame.net/callback. ¿Que significa todo esto? que un atacante tiene que controlar muchos elementos en vivo para poder robar una sesion OAuth puesto que la password en si jamas pasa por meneame.
Basicamente cuando meneame "hace" login contra google lo que hace es mandarle unas claves (que son de la plataforma, no es una password de user) a un servidor de google desde una dirección concreta, por ejemplo oauth.meneame.net, eso lo que hace es que google te muestra a ti, nunca a la plataforma, la pantalla de login de google y tu haces login en google, una vez has hecho el login correcto contra google este le responde que el user es valido o no a meneame en donde este le haya dicho como por ejemplo oauth.meneame.net/callback. ¿Que significa todo esto? que un atacante tiene que controlar muchos elementos en vivo para poder robar una sesion OAuth puesto que la password en si jamas pasa por meneame.
#22:
Para los que hayan cambiado su email en MNM a posteriori porque no querían que su email "bueno" estuviera en esta web, que sepáis que se mantiene y se guardan los dos: email y email_register 
#17:
#11 Eso lo ponía la captura: nombre de usuario, correo y hash de la contraseña. Lo más crítico es el hash, porque probablemente hay gente que reutiliza la contraseña. De ahí no se saca directamente, según lo fuerte que sea puede que lleve algún tiempo. Primero pasaran por la lista de contraseñas comunes a ver que pillan y se irá aumentando el nivel de crackeo.
Así que todo el mundo a cambiar la contraseña a la de ya. Y no solo aquí, si es que la reutilizáis en más sitios.
Así que todo el mundo a cambiar la contraseña a la de ya. Y no solo aquí, si es que la reutilizáis en más sitios.
#47:
ni un puto lo siento? ni un puto perdón porque no hemos sabido proteger vuestra privacidad?
Que funcione la web mal es aceptable.... pero estas cosas son de vergüenza. Y no es que habéis salido al minuto uno a decirlo... no, horas (o días o semanas) después y venís con estas?
este problema solo afecta a unos cuantos usuarios ......................................
Que funcione la web mal es aceptable.... pero estas cosas son de vergüenza. Y no es que habéis salido al minuto uno a decirlo... no, horas (o días o semanas) después y venís con estas?
este problema solo afecta a unos cuantos usuarios ......................................
#39:
"Análisis y medidas que hemos tomado"
Ingenuo de mí he entrado esperando un artículo explicando cómo ha sido y las medidas técnicas tomadas para evitarlo en un futuro. No hacía falta que fuera algo extremadamente informativo (como hizo Cloudflare, por ejemplo) pero esto...
¿Resetear las contraseñas? No me lo esperaba.
Ingenuo de mí he entrado esperando un artículo explicando cómo ha sido y las medidas técnicas tomadas para evitarlo en un futuro. No hacía falta que fuera algo extremadamente informativo (como hizo Cloudflare, por ejemplo) pero esto...
¿Resetear las contraseñas? No me lo esperaba.
#13:
A mi no me miréis, eh. Parece que son búlgaros.
#73:
Mi no veo nada rrarro en mia kuenta. Mia kuenta funsiona perrfektamenta.
да здравствует матушка россия!!!
да здравствует матушка россия!!!
Comentarios
"Queremos transmitiros tranquilidad porque este problema solo afecta a unos cuantos usuarios (un 17,43%)"
Me quedo mas tranquilo, solo afecta a uno de cada cinco usuarios
En breve tu cuenta en : https://haveibeenpwned.com/
#1 Ahora los hakers tienen el poder de escribir en meneame con las cuentas robadas
#9 Si empiezo a hablar bien de Putin sospechad...
#14 Ya has empezado, no?
#14 El hackeo parece provenir de Bulgaria.
#40 ¡Qué bulgares!
#98 Tan gratos para conversar.
#98 O qué bulgaritos! que al menos están ricos
#40 Como el yogurt.
#40 Hace tiempo mi vecina quiso enseñarme el búlgaro.
Lo dejé en cuanto me enteré que era un idioma.
Para más chistes de rabiosa actualidad, llamar al 623871628467
#14 Si veis que hago genuflexiones al estilo alcayata o me arrastro besando los pies a Biden, como otros que yo me sé, sospechad...
#88 yo espero que al final acabes cantando canciones ucranianas
#14 Ya empezamos con las paranoias
#106 Eh, tú, pirata. Qué le dices a #14 con mi cuenta? #hadmin !!!
#107 #14
#14 Estos ataques en tiempos de franco no pasaban.
#9 Lo dudo, las contraseñas estan cifradas
#15 Una gran parte de esas contraseñas puede romperse muy fácilmente, simplemente probando diccionarios.
Para el resto, hace falta un poco más de esfuerzo.
#29 esto afecta a los que logueamos con google?
#31 No, si lo han implementado correctamente (como es probable) puesto que necesitarían tener las keys oauth de meneame y enviar las peticiones de login desde la dirección que meneame a dado de alta en el oauth.
Basicamente cuando meneame "hace" login contra google lo que hace es mandarle unas claves (que son de la plataforma, no es una password de user) a un servidor de google desde una dirección concreta, por ejemplo oauth.meneame.net, eso lo que hace es que google te muestra a ti, nunca a la plataforma, la pantalla de login de google y tu haces login en google, una vez has hecho el login correcto contra google este le responde que el user es valido o no a meneame en donde este le haya dicho como por ejemplo oauth.meneame.net/callback. ¿Que significa todo esto? que un atacante tiene que controlar muchos elementos en vivo para poder robar una sesion OAuth puesto que la password en si jamas pasa por meneame.
#45 gracias, muy ilustrativo
#45 #50 Si os interesa estos sistemas hubo otro que venia a sustituir al OpenID, pero creo que ya no cuajo.
Es una pena que no haya una implementacion totalmente libre o servicios que lo ofrezcan.
https://podcast.jcea.es/podcastz/10
Tambien hay mucho "como funciona" de otro sofwares aqui.
https://www.aosabook.org/en/index.html
#31 Sin tener mucha idea, diría que no debería afectar a los que usan un 'servicio de autenticación externo'.
#31 Probablemente no. Los eevgogole no creo que estén afectados.
#29 No lo entiendo. Ni que estén cifradas, ni que pueda romperse ese cifrado.
Creía que lo que se almacenaba era un hash de la contraseña, de tal manera que tener ese campo de la base de datos, no serviría de nada, porque el hash, a la inversa, no arroja una única solución.
Pero bueno, cada cual hace lo que quiere con su seguridad, ...
#49 El probema es que hay diccionarios inversos de hash, algunos bastante grandes. Así que si el hash no está bien implementado con medidas adicionales puede ser extremadamente fácil hacerte con un buen puñado de contraseñas, al menos de las relativamente sencillas.
#58 #49 Lo habitual es que el hash tenga una sal, por lo que el diccionario no sirve.
La sal es un añadido aleatorio a la contraseña. Sí mi contraseña es 12345 y tiene una sal de 3 cifras, para el sistema la contraseña realmente es 12345/aQ . Los dicciinarios tienen las contraseñas más habituales, tendrán "12345", pero no con la sal aleatoria.
#63 Eso, "lo habitual", esperemos que esta ocasión sea una de ellas y que no sea trivial.
#66 Supongo que usan una libreria que lo implementa que es mas facil y probado=seguro.
Si han accedido a las sal, tambien pueden probar contraseñas a ver si la descifran, pero cada usuario tendra su sal y aunque haya pass repetidas tiene que rehacer el trabajo.
Se hace para prevenir ataqckes rainbow que dices en #58
Ademas el algoritmo se repite a veces cientos de miles de veces para que el ataque sea mas costoso.
En la wikipedia lo explica bastte bien.
#63 https://en.wikipedia.org/wiki/Salt_(cryptography)
#51 Creo que en el codigo seria la pimienta que añade a la salt para que sea mas dificil que tenga todos los componente para descrifrar la pass.
https://en.wikipedia.org/wiki/Pepper_(cryptography)
#55 Si eres transparente y se ve que trabajas bien aumenta la confianza, si lo que se ve es que no se trabaja bien la confianza disminuye.
#66 Cuando robaron mis datos de LInkedin, la primera de las dos veces, fue porque no tenían implementado la sal y comprometieron mis contraseñas.
Hace más años, unos diez o así, a Adobe le pasó lo mismo y tampoco tenían sal.
Pero debería ser la excepción. Aún así recuerdo cuando una empresa colaboradora de mi trabajo nos empezó un producto que iba a ser nuestro y que íbamos a continuar nosotros. Una de las cositas que hicieron fue el sistema de login, y la contraseña iba en texto plano en la base de datos.
#63 Exacto. Y la sal puede ser algo muy jodido, porque puede ser una función del login, la contraseña, la fecha de alta y una contraseña maestra. Es decir, diferente para cada usuario. Y eso concatenarse al password para crear el hash.
#63 eso en teoria, pero si un salt soluciona algun problema
#58 Pues de nuevo no lo entiendo. Un hash se implementa no solo con la contraseña de cada usuario, sino además con una contraseña maestra y otros datos de cada usuario, todo concatenado, combinado, etc., que al no ser públicos, no es posible descifrar de un modo fácil. No sabes que obtienes al darle la vuelta al hash.
Otra cosa es que hayan accedido la función que genera el hash durante el alta o el cambio de contraseña. Pero eso también es complicado, porque eso puede montarse en un procedimiento almacenado de la base de datos al margen de la Web.
#70 fuerza bruta. En local es muy fácil pasar un diccionario amplio y buscar colisiones.
Si tu contraseña es "alcornoque" un ataque de diccionario la sacará rápido.
La función de hash es bastante estándar, mitad md5 mitad sha.
Si tenéis una contraseña débil probablemente la saquen sin mucho problema tenga o no sal.
#49 Eso es irrelevante. Si dos contraseñas producen el mismo hash, ambas son igual de buenas.
#68 Claro. Pero no se trata de sacar la inversa del hash de la contraseña. Hay una sal, así hacer el proceso contrario se vuelve muy jodido, sobre todo si no sabes cómo se genera esa sal.
#81 Lo que dice #68 es que no hace falta realizar el proceso contrario.
Son las llamadas colisiones, en las cuales dos entradas distintas generarían el mismo hash.
Una vez se logra el mismo hash... las entradas serían "equivalentes".
#49 estás usando lógica de hace 10 años. A día de hoy puedes sacar colisiones de md5 y sha2 en poco tiempo si los datos los tienes en local y con una GPU.
#29 Si tienen hash y salt las rainbow tables no funcionan, asi que veo complicado que puedan sacar algo
#29 Pues he visto las líneas de ejemplo en la captura y lo que he visto ha sido un cifrado sha256 con sal (los : diferencian entre sal y hash) así que el ataque por diccionario o tablas arcoiris lo veo inviable.
#15 md5… la palabra correcta es cifrada, no hasheada
#9 si veis que empiezo a mandar noticias que hablen bien de Qanon sospechar
#9 Es que ya no quedaban cuentas nuevas para los multicuentas y han tenido que improvisar
#9 Parece una escusa para vender cuentas y justificar la propaganda de guerra que se ha hecho.
#9 Pues va a ser mi adiós de meneame porque no me acuerdo de la clave y no no tengo acceso al correo jejeje.
#1 ostras, el 17% es UN MONTÓN! Creía que habría sido menos grave, madre mía.
#1 Mi correo ya sale en 26 filtraciones, que más da...
Enviad un mail a los afectados, si sabéis quiénes son ( somos)
#5 Traslado la pregunta a@admin y
patchgirl, que yo solo he enviado la entrada.
Cc/ #4
#4 #7 Asi como dejar claro que tipos de datos son los que se han filtrado. Logs de acceso, IPs, email, passwords. La sensitividad de esos datos puede ser muy diferente.
Y ya si haceis un post-morten publico seria aun mejor. Hace falta ser mas transparente.
@admin
#11 Eso lo ponía la captura: nombre de usuario, correo y hash de la contraseña. Lo más crítico es el hash, porque probablemente hay gente que reutiliza la contraseña. De ahí no se saca directamente, según lo fuerte que sea puede que lleve algún tiempo. Primero pasaran por la lista de contraseñas comunes a ver que pillan y se irá aumentando el nivel de crackeo.
Así que todo el mundo a cambiar la contraseña a la de ya. Y no solo aquí, si es que la reutilizáis en más sitios.
#17 Yo no me sé la contraseña.
Precisamente ayer la cambie según el modo aleatorio de Keepass.
Y así con todas las demás contraseñas que tengo.
#17 Si sólo tienen el hash y la web está bien diseñada, dicho hash estará "salteado", es decir, se le añade alguna cadena extra antes para hacer inviable usar diccionarios inversos. Si también han conseguido esta "salt" que suele estar en la parte del código y no en la base de datos, facilita las cosas, pero más tiempo y potencia de cálculo van a necesitar que si no.
#51 hashes como md5 o sha2 llevan años rotos para su uso en contraseñas. El problema es que se pensaron para uso general y por eso son muy rápidos de calcular. Esto es un problema cuando tienes un leak y puedes ponerte a buscar colisiones con una o varias GPUs. Ni los salts te salvan ya con la potencia de cálculo actual. Siempre siempre hay que usar hashes que controlan el tiempo de cálculo (crypt, script, etc). Estos otros hashes están pensados para ser usados en contraseñas desde el principio.
#17 que significa reutilizar?
#11 falso amigo detectado
#26 ... que sensitivo te pones
#11 jaja echarán tierra y aquí no ha pasado nada. En España lo que se hace es como si nada porque se piensa que la transparencia hace perder la confianza, muy equivocados están.
#11 No arreglan los putos Bugs y vas a pedir informática forense...
#11 mucha gente usa mismas contraseñas para todos, yo soy de los locos que tiene una por sitio, menos mal
#4 #7 No os olvidéis de@god, máximos responsables.
#4 Un mail, no, un mensaje privado. #7
#5 Seria lo suyo que así lo hicieran.
CC: #4
#4 eso sería lo más lógico desde el minuto 1
#4 Pues... Si ese dump está en orden de ID (que tiene toda la pinta) y son 250k líneas. Pues cuenta que es desde el ID 1 hasta el ID 250000.
Comprueba si tu ID está entre esos.
#4 eso sería lo idóneo
#0 Habéis notificado a los usuarios afectados por mensaje privado?
#5 No creo. Casi seguro que conozco algún usuario de los afectados y no les llegó ningún correo.
17,43% no es poca broma.
#16 Según ellos son solo "unos cuantos usuarios"
Bonita forma de comenzar a gestionar una crisis de seguridad tan seria.
#16 Nadie dijo que sea broma, pero podría ser mucho más.
#16 es que han pagado los 200$ para saber lo que les habían chorizado. Y se habrán enterado cuando ha llegado a portada 😅
Para los que hayan cambiado su email en MNM a posteriori porque no querían que su email "bueno" estuviera en esta web, que sepáis que se mantiene y se guardan los dos: email y email_register
#22 precisamente yo lo cambié hace poco porque un usuario "poderoso" me llamó de todo y por si le daba por buscar gresca en el MundoReal ™
Qué tranquilidad me das.
#91 En la vida real no hay huevos
#22 Me pregunto si eso sería compatible con las leyes de protección de datos.
A mi no me miréis, eh. Parece que son búlgaros.
#13 Que, no Putin, que no nos engañan, esto es como lo del Nord Stream, han sido ellos para luego echarte a ti la culpa
"Análisis y medidas que hemos tomado"
Ingenuo de mí he entrado esperando un artículo explicando cómo ha sido y las medidas técnicas tomadas para evitarlo en un futuro. No hacía falta que fuera algo extremadamente informativo (como hizo Cloudflare, por ejemplo) pero esto...
¿Resetear las contraseñas? No me lo esperaba.
#39 un comunicado vergonzoso.
Mi no veo nada rrarro en mia kuenta. Mia kuenta funsiona perrfektamenta.
да здравствует матушка россия!!!
ni un puto lo siento? ni un puto perdón porque no hemos sabido proteger vuestra privacidad?
Que funcione la web mal es aceptable.... pero estas cosas son de vergüenza. Y no es que habéis salido al minuto uno a decirlo... no, horas (o días o semanas) después y venís con estas?
este problema solo afecta a unos cuantos usuarios ......................................
Ehh, cuando me vayáis a poner un strike, han sido los jaquers, yo no he hecho ese comentario
#18 me han hakeiado la cuenta
Mis comentarios sobre el pueblo elegido, eran broma, sois mi pueblo favorito y soy vuestro mayor admirador, hay trabajos más importantes para Pegasus
#10 Yo he cambiado las lámparas por candelabros de siete brazos, he recortado el gorro de la piscina para usar solo el casquete (kipá), me he circuncidado usando la puerta del baño y me estoy dando cabezazos contra la pared de la terraza (a modo de entrenamiento y como medida contra el dolor de la circuncisión casera)
#30 Te falta practicar la usura con el vecino o en su defecto anexionarte su terraza.
#34 Lo de la usura se lo dejo al banco, mucho más profesionales que yo.
En lo que se refiere a la terraza, no me convence la anexión. Soy más partidario de un ataque y retirada cuando está la vecina tomando el sol, sin mayores responsabilidades.
Putin está detrás! Seguro!
#6 yo tiraría a EEUU
Genial, soy uno de los premiados
Oh no — pwned!
Pwned in 1 data breach and found no pastes (subscribe to search sensitive breaches)
¿Podríais aprovechar y entre esas medidas colar el cambiar el favicon por defecto de wordpress?
De ese 17,4 el 90% son clones
#27 el ataque de los clones
Es buena costumbre cambiar la contraseña cada cierto tiempo. Lo acabo de hacer. En el trabajo os o lugan a cambiarla cada tres meses (Administración Autónoma). Es un poco tostón, pero hay trucos para recordarla con facilidad.
123456, luego 234567, 345678, etc.
#99 conozco alguien en la administración que su contraseña era pacoAÑOMES, así nunca le marcaba como repetida y era fácil de recordar... Aunque también la sabíamos todos
#99 Obligar a cambiar la contraseña es un error. Como obligar a poner símbolos o establecer una longitud fija. Cuanto más complicado se haga más fácil es que acabe en un postit en el monitor.
#99 15 años he estado sin cambiar la clave y he cambiado antes de correo. Igual opto a algún record Guiness
Han sido los del "sitio ese"... Estoy seguro.
Pue que el Menéame me de 100€ o 2 botellas de whisky de malta de 15 años en compensacion por el daño.
Para todo lo demás saber que mis datos básicos los debe de tener hasta Putin a esta alturas.
Esto con
gallir no pasaba.
butnot, la puta ardilla, la bruja psicóloga y otros tantos.
Qué vuelva gallir, los avatares cuadrados y ya de paso que regresen@fragedis,
¡Hijos de Putin!
Estaría bien saber quienes tienen clones a partir de esa lista.
#32 Por mí, encantado. Me prepararé unas palomitas para ver cómo te metes tus acusaciones por donde no da el sol.
cc/@HackerRuso
#37 Bah, va a ser indemostrable a poco que hayan usado correos electrónicos distintos y una cuenta u otra sean usadas en dispositivos distintos. Qué más da, queréis hacer astroturfing? pues muy bien, a mí me da igual.
#52 Qué guay tiene que ser estar en tu cabeza. Escribiendo las reglas y las acusaciones sobre la marcha. Así siempre ganas!
Un besito, péiperman. 😘
#56 Otro para tí, Sobelito.
"3 millas de subida y 3 de bajada."
Recuerda que se saluda al rango, no a la persona.
#56 Te he acusado a tí de algo? que yo sepa, de nada.
A mí echarme un cable con esto porque estoy pelao en estas cuestiones, per favore.
Borrado rápido de cuentas de Pornhub! precios económicos. Descuentos a grupos.
#20 Orgulloso usuario de más de 15 años de antigüedad, para borrarme la cuenta
Se sabe que el hackeo viene por las brechas de seguridad de la nueva web. (Esa que nadie usa porque anda rota )
Imaginaos cuando no exista ya el dinero físico y TODOS nuestros datos estén en las nubes.
#65 criptobro
#65 yo ya tengo "en la nube" (en el banco) el 95% de mis ahorros...
#94 ...y el 100% de mis hipotecas!
se hablaba demasiado mal de eeuu...
¿Por qué son un 17,43 % y no todos los usuarios? ¿se filtraron y luego hackearon siguiendo algún criterio o perfil?
¿cuál es el origen del ataque?
Nadie es ajeno aquí, creo yo, a que cualquier régimen autoritario estaría encantado de sabotear la libre expresión.
En el mundo no solo se sabotean oleoductos, esto de hecho es probablemente más fácil e igual de grave.
#33 Que comenten lo del 17,43% suena a que los crackers usaron Blind SQL injection, que lleva "su tiempo" y mientras transcurría el ataque lo lograron mitigar. Mediante logs se puede ver el avance del ataque (es decir, por ejemplo los id's de usuarios que se lograron filtrar).
#33 Con lo que peta menéame tiene mérito que hayan conseguido que una de cada cinco peticiones no les diera error
#86 lol
Contraseña cambiada... en fin... Otra nueva contraseña para la lista...
#82 cojo una password, la tiro por el retrete... Y van 2938474738 passwords que el retrete se ha tragado
sois muy tontos de verdad
duplicado
Ahora los juakers sabrán mis más oscuros secretos, me desmayo de forma melodramática...
#28 pues a ver si tienen huevos a mirar mi historial
¿finofilipino el siguiente?
Tampoco funciona.
Pongo a disposición del que quiera mis datos de menéame...
#12 ¿quien te los pidió? Insinúas que todo el mundo deber hacer lo mismo, que eres más chachi pq no tienes nada que "esconder" ¿?.
#38 está evidenciando que en páginas como esta no deberías usar passwords "seguros" para tí. De verdad que aquí hay que explicarlo todo... Que muy bien, la ip, blabla. En fin.
#12 cuenta con mi karma!
Contrarios o favorables?
Está meta revolucionada. Hoy me ha llegado al correo de la web de mi actividad una demanda de extorsión de 3.000$ en caracteres orientales-inglés. En principio no hay conexión con mnm.
#60 qué bien, la de jalarse el dong, un clásico
#93 La web tipo blog con el WordPress me la hice yo que no soy experto.
El otro día que veía casi 20.000 comentarios extraños en ruso y otros, intenté borrarlos pero no lo conseguí.
No de lo que es un dong y si realmente hay algún peligro, sin querer abusar, si tienes algún consejo, gracias.
> os pedimos, como siempre, que evitéis usar la misma contraseña en varios sitios web y que si es posible, cambiéis la de Menéame.
Y dos veces que la he cambiado, gracias a la genial aplicación de BitWarden para Android (lo he acabado haciendo desde el PC).
-Pero si no ha hecho nada
-¿Que no Lisa?...¿que no?....
#36 Ah, pues no. ¡ Trae pa cá!