#5 Como dice #94, eso que dices es el error 404 normal de menéame de toda la vida:

www.meneame.net/404.html

#97 pues eso, que sin el dato en texto plano tampoco es que se pueda hacer mucho ... vender las direcciones de correo para spam...

#98 sqli de libro

#2 #39 He leído que pide 200 euros. O sea, a 50 pavos por barba... Demasiado caro, por mucho interés que tengan.

#89 Da igual, se han erigido en dominio público después de esto ....

#93 no pillo lo de las vpn. No las usaría pero pillo la idea

#17 ese campo parece que lo tienen encriptado, al menos en la captura de pandalla

#48 más bien lo que dice #45

Pero hay algunos servicios de reverse lookup que almacenan un montón de hashes con su equivalencia y a veces suena la flauta

#73 No, de esta semana, no. En total, en los últimos doce años, he tenido cuatro cuentas. Y la última la borré porque me enfadé después de que me penalizaran por informar a otro usuario de que era un idiota.

#17 md5 no es muy seguro, pero cifrado sha256, si lo es (me quito el sombrero)

#104 si es un bug deberíamos poder reproducirlo. No te parece?

#84 no corras que si no parchean la vulnerabilidad no te sirve de nada cambiar

#9 Aquí muchos van de antisistema pero luego todo dios usa gmail

#89 #59 Ya te digo, si tienen la tabla "accounts" tienen todas la tablas de la Base de Datos

#112 si descubres cómo de produce y no está parcheado podrías, pero estarías cometiendo un delito, así que se consciente de los riegos. Aunque hicieras un reporte amistoso del bug si quieren te mandan al juez. Así está el bug bounting en España

#55 Aquí saldrá twitter.com/elhackernet/status/1576824285045624833

#100 Sé lo que son.

#117 no te preocupes por eso. Se lo dejo a los que pagan con sacos de sal a los que tiene contratado mnm. Básicamente para mí es sólo una captura de pantalla y me importa lo que una cagada de paloma

#67 Quién ha hablado de SHA256? el campo user_pass es un varchar que puede tener un SHA256 o cualquier otra tipo de hash. Mira que me he cuidado de no usar y remarcar tachado "desencriptar" sino "recuperar", pero obviamente esperaba que alguien dijera lo de "no se puede desencriptar".
Hay bases de datos de hashes, son comunmente conocidas.
Vete a cualquier registro que no tenga contraseña SHA256 (el primero que aparece, que tiene user_id 5, por ejemplo). Copias el string de user_password, te vas a cualquier página de base de datos de hashes y lo pones.
hashes.com/
Te la RECUPERA en menos de un segundo, como dije.

Y en SHA256? mi contraseña aquí era Reagan2256 (ya la ha cambiado).
Aquí la saca en cero coma: md5decrypt.net/en/Sha256

Y no, no tengo ni idea de SHA256, solo pico teclas al azar.

#112 ¿para que tengan bugitos pequeñitos?

#54 Y además se ve que hay varios tipos de hashes  

Pues nada, solo falta que alguien con 200€ de sobra quiera hacer un artículo sobre astroturfing, sacar quienes son los famosos admin y cuentas reservadas etc.

Ya te digo yo que algún tuitero de extremo centro es capaz con tal de vengarse.

#105

Como curiosidad el archivo tiene 25000 lineas, quizás con eso se pueda estimar la fecha del leak

#107 por VPN me refiero a que AWS tiene un servicio para que montes una VPN punto a punto entre tú VPC que sería tu red de AWS y tu oficina a través de un Firewall con esa opción por ejemplo. La red de tus máquinas en AWS sería accesible directamente desde la LAN de tu oficina… Por lo que si te entran a un equipo de tu oficina estás jodido. No todos lo hacen pero bueno es una posibilidad.

#67 Por la pinta del volcado las hay en SHA256 que empiezan por "sha256:xxxxxx" pero el resto parece md5, probablemente propio de cuentas antiguas antes de que la web se modernizara.

cc #35 #92

#17 ya te da igual, la vieja la tienen.

#126 #121 No he visto que había hashes que no habían sido encriptados en SHA256. Por eso asumí en mi comentario que te referías a ese algoritmo, te pido perdón por mi error.

#125 supongo que te refieres al tema de bastión que da aws. Lo he probado y es una buena opcion

#121 Falta el salt
github.com/Meneame/meneame.net/blob/60fc5935e46fb72c47945abc63cd062803

Le han hecho un deface?!?! A no... que es la nueva versión de la interfaz.

#129 Es lo más seguro si

#126 ¡Bingo!
github.com/Meneame/meneame.net/blob/60fc5935e46fb72c47945abc63cd062803

#6 los de la tarjeta de crédito para el meneame premium.

#9 me encanta el tipo que pide la imagen a mejor resolución... para luego quejarse de que la pongan en público porque hay datos privados.

#93 he leído hasta el final para saber si te lo estabas inventando (por tanta sigla y tal). Como si hubiera leído un texto en alemán del siglo IV.

#110 "informar a otro usuario de que era un idiota"

Me gusta esa frase

#52 Con una inyección SQL.

#110 "Muy señor mío, le informo de que que es ud un idiota. Atte Khadgar"

#82 Lo mío era un comentario jocoso por el contenido de la noticia y tú nick... Un chiste fácil y en ningún caso una acusación formal.

#42 Y que lo digas, las cuentas que uso eran temporales o en servidores que hace años que no existen. Seria una putada

#1 breached.to/Thread-Selling-meneame-net-2022-257k-users?highlight=menea

Mi contraseña la genero con KeePassXC, así que no me preocupa, el correo-e menos, es una cuenta para Meneame de mi dominio propio, si la meten es spam, la bloqueo y genero otra.

Sin noticias de Gurb, ... digo de los @admin.

#105 Son optimistas si esperan que alguien pague

#40 Pobre Bobby Tables... que incoprendido

#11 a mí me deja una, son 250.000 líneas y empieza por los primeros usuarios, en concreto por @gallir pero no se ven los últimos de la lista

Igual son cuentas muy antiguas, la mía es de más de 10 años y si el ID numérico es correlativo, haciendo una regla de con el número de filas (esquina inferior derecha de la captura) me sale que el hack sería de 2014 si se hubiera mantenido el ritmo de creación de cuentas de los dos primero años  

#141 a mí me pasó eso en ForoCoches

#93 Si tuviesen todo eso no hay dios que entre porque no se te entiende nada.

Contraseña cambiada.

#146 Pues si, mi cuenta tiene mas de 10 años tambien y el ID que tiene esta bastante por encima de 250mil

#47 Hay scripts para probar si un identificador (como puede ser una dirección de correo) está de alta en otros servicios.

Spam no vas a recibir en tu cuenta personal, pero ya saben tu cuenta de de correo y que está dada de alta en otros servicios. Perfecto para un ataque de phishing.

#43 O que no hayan cambiado el estatus de su cuenta.

#135 No le ha pedido que la ponga en abierto... Ese tipo sabe "un poco" de esas cosas. Pero reconozco que es gracioso.

Lo triste es que nadie iba a querer comprar estos datos .

#1 Ni falta que hace. Menéame lleva meses hackeado por los rusos...

#52 Inyectando código. Si consigues meter una función que lhaga un dump de la lista de usuarios y ejecutarla, ya lo tienes.

En entornos PHP es relativamente habitual. Es el vector de entrada más común en los wordpress.

#71 Los usuarios no, pero el programador si. Sólo hay que inyectar el código adecuado.

#150 si, entiendo que el ritmo de crecimiento fue mayor en 2007-2009 que en 2005-2007. Pero bueno, tampoco sé si los ID son correlativos, si hay huecos, qué pasa cuando se da de baja un usuario etc etc

#9 user_karma un varchar?? y de 255??{shit}

#153 igual de raro habría sido que la pidiera a mejor resolución "sólo para sus ojos"...

#47 Lo suyo es que todo el mundo tuviera cierta "compartimentalización" en el correo que recibe y cómo lo recibe, hasta me recuerdo lo de Ashley Madison, y la cagada de que muchos se registren con cuentas oficiales del gobierno.

#28 Mamones. Me estáis dejando sin opciones

#162 555porelculotelahinco

yo no me fiaría mucho de PHP en los tiempos que corren

#136 yo tambien le fusilaba

#163 Te la hinco, que diga, te la compro

Mierda, tendré que cambiar mi contraseña a %$jvci90a·$d90123$·Q%Rd321

#24 Utilizan el logo de "Ciudadanos para el desarrollo europeo de Bulgaria"
Si se busca "Кмета На Европа" el único resultado preciso lleva a un canal búlgaro y a un vídeo en Bulgaria.
www.youtube.com/watch?v=KNVT1hqBu4g
en.wikipedia.org/wiki/GERB

Vamos, que lo de siempre. "Putin y los rusos se comieron mis deberes y violaron a mi gato". Por no molestaros, ni os molestáis en indagar un poco. Veis algo en cirílico y dais por hecho que es ruso. Y luego creéis saber la diferencia entre ucranianos y rusos...

cc/ @HackerRuso @Beltenebros @aironman #91

#47 Nunca jamás con una cuenta real. Eso ni de broma.

#105 Con lo pirados que están, son capaces de pagar 200€.

Aunque conociendo el mercado negro, igual les cobran y luego no les dan nada.

#88 Pero puedes saber qué CD es. O qué password es.

200 pavos, joder el Prime day.

El tio ha visto el percal y dirá... si me dan 50 doy gracias.

#113 lo sé..... Gracias.... Pero cambiar eso era gratis..... El Paranoid_Mode_On viene de serie en los modelos como yo...

#17 Ya la he cambiado.

Comprobado, uno de los MD5 fácilmente deducible por tablas de hashes y usuario activo. Mucho ojo con los que tengáis la contraseña muy antigua, cambiarla de inmediato.

#2 Decían que era para enviarnos unos mariachis.
Con los usuarios que tienen solo han recogido para grabarnos un CD pirata de rancheras y enviarlo por correo ordinario.

Y quién no ha hackeado alguna vez menéame

#2 No hace falta. Las brechas de seguridad son inversamente proporcionales a la bolsa de cacahuetes con la que pagan a los "nuevos" (y "excelentes") programadores.

#84 esta tarde viendo el mapa de bitdefender en la pantalla de enfrente toda la tarde infecciones cada 1 segundo o menos...

#9 ¿esa captura es un sample o es alguien que la tiene ya full? (aparte del atacante obviamente)

#17 ¿Para qué? Con ua de clones que hay, incluso con karma imposible para un uso normal, ¿quien va a pagar por un usuario?

#9 pues pensaba que era un fake ya que si miras la base de datos de meneame, ni tiene la tabla accounts ( se usa la tabla users) ni usan varchar(256) para todo.
github.com/Meneame/meneame.net/blob/master/sql/meneame.sql

parece que es una tabla temporal sobre la que se han insertado los datos para hacer un dump de la tabla, tiene poco sentido pero podría ser que usasen esta tabla para hacer un dump por tema de permisos, en lugar de usar la original.
El uso de "<blank>" también es mas que raro en lugar del "" o NULL cuando en la base de datos esta por defecto en NULL.
En un principio pensé que se habían ido a las primeras noticias de meneame y sacado un listado de usuarios con los que generar los datos
**Pero**
hay un usuario sin comentarios ni actividad, ni nombre de usuario común, con lo que no es posible saber de su existencia sin ver la BBDD o ser un insider , que si aparece en el twit, en particular es:
www.meneame.net/user/provella/profile

así que ... cambien su password ya.
cc #11

#180 a mi me preocuparía más que parece un dump limpio, es decir que se han colado hasta la cocina

#107 Los administradores de este sitio tampoco

#185 no si eso ya está claro, yo no tengo nada personal aquí, y llevo desde 2006. La contraseña que tenía no la van a romper ni con rainbow tables y la acabo de cambiar. El mail bueno, es lo que hay, tampoco voy a caer fácilmente en fishing aunque si que me fastidia porque es más riesgo.

ya que estaban me podian haber limpiado los strikes totalmente injustos que me han puesto, y poner el karma mejor, porque se han pasado los mods.

#146 Se ve en un usuario que modificó su cuenta en 2021 (es el campo user_modification). Así que no es tan viejo.

También estuve comprobando el karma de varios de los usuarios que se ven en la captura y coinciden con los que tienen ahora. Pero creo que eso no indica mucho (realmente no lo se), porque parece que son usuarios que hace mucho que no interactúan en la web.  

#146 esto tampoco cuadra, ya por el 2019 tenia 500.000 cuentas activas:
blog.meneame.net/2019/12/09/aniversario-medio-millon-de-usuarios-activ
por lo que o es antiguo o hay algo raro.
edit: parece que es un dump parcial.

#92 md5 no es bueno, sha256 es mas seguro en teoria, desconozco si usaron una "sal" es.wikipedia.org/wiki/Sal_(criptografía) al crearlos, pero por el enlace de git que han puesto mas arriba para la tabla, no parece.

Los hashes como md5 estan deprecados porque ya se han logrado colisiones, no hay que usarlos para almacenar autenticación.
Sha256 es seguro en teoria, pero su función es ser eficiente en sacar un digest sobre el texto a hashear, por lo que es "rápido" para ataques de fuerza bruta.

La mejor soluciíón es saltear los paswords y usar un algoritmo creado especificamente para passwords, como Argon2.

Saltear el hash, es decir, añadir una cadena conocida a la contraseña a cifrar que se almacena a parte, evita que se puedan usar tablas precalculadas de hashes.
Algoritmos como Argon2 están pensados para hashear passwords, en ved de eficientes son costosos, de forma que dificultan muchisimo ataques de fuerza bruta.

El problema es que pueden comparar el dump con tablas de hashes conocidos y obtener la contraseña que genera el hash si no estaba salteada, o incluso en el caso de md5 obtener un password equivalente aun estando salteada encontrando una colision (bastante dificil).

#82
El fulano ese, #68, dice que somos la misma persona. Supongo que será porque él tiene varios perfiles.
Apuesto a que si revisamos tu historial y el mío, habrá algún comentario coincidente en el tiempo, lo que invalida la acusación/bulo de #68.
Oye, después de esto, pídeme al menos amistad. Es lo suyo, ¿No? Me refiero a #82, no al repartidor de bulos.
CC #77

Las IPs están para algo. Los admin pueden revisarlas.

#190 No, no hay sal por ningún lado:
github.com/Meneame/meneame.net/blob/60fc5935e46fb72c47945abc63cd062803

#68
Reportado por bulo.

#77
Si me permites un consejo:
No hagas caso a los trols.

#82
Gracias por avisarme.

#51 ¡Dame dos!

#191 Las IPs, si usas una vpn, o directamente, un ordenador conectado a tu router y un smartphone sin usar el wifi, diría que usas dos ips distintas.

Yo uso la misma cuenta desde el 2008 campeón.

#90 Hay un montón de cryptomineros que ahora no tienen nada que hacer con su hardware.

#193 que yo sepa, los clones están permitidos. No pasa nada, tú sigue con tu trabajo.