Portada
Hace 15 años | Por DZPM a pcworld.com
Publicado hace 15 años por DZPM a pcworld.com

Los datos de Monster.com han sido robados, no piensan avisar a los usuarios

 pcworld.com

Ha habido otra brecha de seguridad en Monster.com. Lo sorprendente es que todavía guarden contraseñas sin cifrar en una base de datos después del último ataque, así como la decisión de no enviar un email a los usuarios (supuestamente para que no haya quejas). "Han sido robados todos los datos de los usuarios de Monster.com: IDs de usuario, contraseñas, nombres, emails, fechas de nacimiento, sexo, raza, e incluso estado de residencia. La información no incluye números de la Seguridad Social (...)" (Sigue en #1)

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 5 38

Comentarios

DZPM
autor
editado

#4
Buff, si yo te contara cómo guardaba los passwords cierta web española... roll

V 18
K 164
DZPM
autor
editado

"Han sido robados todos los datos de los usuarios de Monster.com: IDs de usuario, contraseñas, nombres, emails, fechas de nacimiento, sexo, raza, e incluso estado de residencia. La información no incluye números de la Seguridad Social (que Monster.com dice que no guarda), ni currículums. Monster.com puso el aviso acerca de la brecha el viernes por la mañana, y no tiene laneado enviar emails a los usuarios para informarles del problema, dijo Rikki Richardson, una portavoz de Monster.com. El SANS Internet Storm Center también puso una nota sobre la brecha el viernes."

Vía:
http://it.slashdot.org/article.pl?sid=09/01/25/1314215

Ataque anterior, en agosto del 2007:
http://it.slashdot.org/article.pl?sid=07/08/22/058239

Nota de Monster.com:
http://help.monster.com/besafe/jobseeker/index.asp

Nota de SANS:
http://isc.sans.org/diary.html?storyid=5737

V 16
K 162
D
editado

#11 "yo, habiendo trabajado en el campo de la seguridad y siendo capaz de encontrar bugs en cualquier web en menos de 5 minutos..."

Solo te ha faltado decir que fuiste tu quien inventó las inyecciones sql!!!

V 16
K 145
Kartoffel
editado

#13 ¡Fácilmente!

V 12
K 126
DZPM
autor
editado

#18 #6
Era poca cosa, y duró solo los primeros días. Era entendible, puesto que estaba en un "pobrecito" servidor que no habría dado a basto para cifrar y descifrar todo...

Lo siento, pero no puedo decir qué famosa red social española era, o Ricardo Galli me va a banear roll roll

V 12
K 107
DZPM
autor
editado

#11
Cualquiera puede encontrar fallos de inyección SQL y de XSS, no hace falta ser un crack.

Incluso añado que hoy en día no tiene ningún mérito, ya que hay una enorme cantidad de herramientas automatizadas que lo hacen...

Menos lobos, Caperucita

V 8
K 84
D
editado

Qué rápido lee la gente...

V 5
K 71
s
editado

yo, habiendo trabajado en el campo de la seguridad y siendo capaz de encontrar bugs en cualquier web en menos de 5 minutos (en caso de que los haya) he visto de todo

en el caso de monster, recuerdo que estaba plagado de bugs de xss y tenia por lo menos 2 puntos de inyeccion sql explotables la ultima vez que les eche un vistazo (hace bastantes años de eso), siendo una web grande este hack SEGURO que no era el primero, yo mismo podia haberles robado todo eso si hubiera querido, tambien podia haberles notificado del bug pero ya hace tiempo que no lo hago ya que suele ser inutil (no entienden el fallo, no quieren saber nada, no responden... o peor ! quieren que se lo arregles tu de gratis, como si tu fueras el causante del error)

V 10
K 67
t
editado

Desde luego que aquí con la LOPD se los "follarían" vivos...
Además las contraseñas en texto plano ala! ni MD5, para que! lol

V 5
K 53
D
editado

#6 cuenta!

V 4
K 45
dreierfahrer
editado

#6 Cuentalo, por dios

No digas nombres pero CUENTALO!!!!

V 4
K 43
O
editado

Pues yo he tenido varias veces problemas con los clientes porque queriamos cifrar las passwords en la base de datos y ellos no querian. La causa que aducian es que cuando el usuario necesitara recuperar la contraseña había que mandarle la misma y no una nueva generada al azar. Da igual que le explicaras que era más seguro o que esto y lo otro. ¿Quieres texto plano? Pues toma texto plano.

V 3
K 40
amayita
editado

Me acabo de borrar la cuenta, y diciendoles clarito el motivo

V 2
K 32
DZPM
autor
editado

#23
Yo me ahorro todos esos engorrosos pasos.

Uso Django

V 1
K 26
D
editado

Yo trabajo en una subcontrata que gestiona cierta empresa que lleva la base de datos de una de las webs mas importantes de españa. Y sinceramente, da MIEDO el grado de seguridad que hay. Desde passwords sin cifrar, hasta fallos de seguridad bastante evidente (XSS, SQL injection a gogo, validación de datos hecha por el chavo del ocho) y todo por que? Porque los clientes simplemente pasan absolutamente cuando les dices que "se podria incrementar la seguridad de X pero eso llevaria un coste Y que blablabla" simplemente pasan totalmente.

V 4
K 25
djkalim
editado

#6 tiene que ver con Menéame? Porque creo recordar haber leído algo... jajaaj
Pero tampoco me hagais mucho caso, mi mente a veces me juega malas pasadas...

V 1
K 23
Atlas
editado

Me recuerda a aquella vez en la que se podian ver las fotos de los asistentes de la Campus-Party.

V 1
K 18
xenNews
editado

Otro motivo más para no poner demasiada información confidencial en un servidor de Internet. Sabiendo como se las gastan algunos administradores... lol

V 1
K 18
Java2
editado

Eso es como un balde de agua fría para mí. Como dice el #8 me han follado bien.

V 1
K 17
D
editado

#0 Para eso ya está menéame. PANIC MODE ON.

V 1
K 16
Menda
editado

Si hasta yo para webs mierdosas que hago encripto con Sha1 poniendo sal a las contraseñas y sanitizo los datos antes de meterlos en la BD.

V 1
K 16
Candidatas
46
meneos
actualidad La frustración de quedarte sin una plaza de FP pública: "Estoy trabajando de camarera para pagarme la privada"
23
meneos
actualidad Israel advierte que los ataques aéreos en Líbano son una preparación para una posible incursión terrestre
24
meneos
actualidad "Es el momento de irse": España y otros países europeos piden a sus ciudadanos que salgan del Líbano
29
meneos
actualidad Marcellus Williams es ejecutado a pesar de que los fiscales y la familia de la víctima pidieron que lo perdonaran (ENG)
41
meneos
politica El salario más frecuente en España está por debajo de los 15.000 euros: estos fueron los trabajos peor pagados
21
meneos
politica Feijóo se sincera en Vanity Fair: "Cada vez que hablo con Julio Iglesias me da su punto de vista y me aconseja"
23
meneos
cultura La colección de colores más importante del mundo
19
meneos
cultura Descubre un esqueleto en su sótano y encuentra 38 tumbas de finales de la Antigüedad y 10 sarcófagos merovingios
66
meneos
actualidad Una manada de monos evita la violación de una niña de seis años en India [ENG]
22
meneos
actualidad Twitter no para de perder usuarios y Elon Musk debe encontrar la fórmula para evitar el éxodo de tráfico de la red social
45
meneos
actualidad La OCDE dispara un punto la previsión de crecimiento para España: un 2,8% en 2024
54
meneos
justicia7291 El infierno en “la residencia de los horrores” de Ayuso: “Tengo que sacar a mi madre de ahí”
20
meneos
actualidad China produce más acero que el resto del mundo
34
meneos
tecnología El modelo GPT-4 de OpenAI consume hasta 3 botellas de agua para generar apenas 100 palabras [ENG]
atzu
editado

Ademàs parece que no han sido los ùnicos perjudicados, USAJobs.com, alojaba sus datos apoyàndose en Monster.com y parece que se la han lìado igualmente. Segùn dice el artìculo son una organizaciòn gubernamental que sirve de red para los trabajos federales de USA. En fin, que les han follado pero bien.

V 0
K 12
Nova6K0
editado

Desde luego que aquí con la LOPD se los "follarían" vivos...
Además las contraseñas en texto plano ala! ni MD5, para que! lol

Y tanto como que serían 60.000 € de multa por infracción muy grave.

Salu2

V 0
K 10
Lito
editado

Edit: nanai

V 0
K 10
T
editado

#19 ... cómo no, en que país vivimos?

V 0
K 8
dreierfahrer
editado

#31 Jode, yo preferia saber QUE barbaridad se hace y no QUIEN la hace....

Pq en estas cosas no se pueden saber las dos cosas a la vez... kaka

V 0
K 8
dreierfahrer
editado

#20 pues cuentanos el pecado y no el pecador....

Nos dejas con la mosca detras de la oreja.

V 0
K 8
BartolomewScottBlair
editado

En monster.fr hay mensaje anunciado como importante relacionado con la seguridad:

http://aide.monster.fr/besafe/jobseeker/index.asp

V 0
K 7
mudito
editado

#6 Se llamaba ... Mmmmmmmmm... no me sale

"Era entendible, puesto que estaba en un "pobrecito" servidor que no habría dado a basto para cifrar y descifrar todo... "

Ejem ... hay funciones que pasándole la lista de contraseñas lo hacen automáticamente. No hace falta ir una por una con papel y lápiz

V 0
K 7
jubileta
editado

#25 famosa red social española. A mí se me ocurre una, parecida a facebook...
#20 ¿Es esa?

V 0
K 7
s
editado

#13: no, aunque las encuentro con mucha maña y suelen ser lo mas sencillo de explotar, pero bueno en realidad mi especialidad es encontrar fallos en protocolos de red y en binarios

#15: por supuesto que cualquiera puede, pero supongo que no cualquiera es capaz de escalar de un servidorucho web a tener toda la LAN hackeada
y de todas formas, las herramientas para encontrar inyecciones son el timo del siglo, como mucho encontraras los bugs si sueltan errores (no suele pasar) o con el hash md5 de la pagina, de lo contrario que sea automatizado no te sirve de nada, necesitaras darle unos parametros a parsear (y con lo dinamicas que son hoy en dia las webs...)

bueno yo he usado scripts, pero escritos por mi mismo y especialmente para ciertas webs, de lo contrario es un cristo...

V 0
K 7
tuseeketh
editado

Uf, menos mal que no me registré nunca en ese portal. No sé por qué nunca me dio confianza, siempre lo he visto chabacano... y veo que al final no me equivoqué.

Lo de no querer notificar a los usuarios me parece deleznable. Si ellos no se encargan, ya se encargará menéame y los ecos del menéame en difundirlo.

V 0
K 7
D
editado

Acabo de borrar mi cuenta, aquí dejan una carta:
http://ayuda.monster.es/besafe/jobseeker/index.asp

V 0
K 7
D
editado

#3 Para comentar la entradilla no creo que haga falta leer la noticia completa, ¿no crées?.

V 0
K 6
Tarow
editado

¿Y esto no se puede denunciar?¿No se puede hacer nada? Simplemente dejar de usarlos, pero vamos, ¿a alguna ley de protección de datosse podrá recurrir no?

Bye-nee

V 0
K 6
D
editado

Acaso te llaman cuando roban un banco y se llevan "tu dinero"

V 0
K 6
D
editado

No entiendo como no encriptan las direcciones el mandar datos tipo pagina.asp?id=12 yo creo que tenia que haber pasado a la historia, un dia de aburrimiento me saque todos los comunicados de la web de ezquerra republicana, puedes ahcer la consulta sql que queiras a la bd facilmente.

V 0
K 6
r
editado

Que les metan un puro!!!!!

V 1
K -1