edición general
292 meneos
2951 clics

Ataque y extracción de datos en Menéame: análisis y las medidas que hemos tomado

Desde la administración de Menéame os confirmamos que hemos sufrido un ataque en el que se robaron datos de algunos usuarios. El ataque fue atajado inmediatamente pero no hemos podido evitar la filtración de datos. Queremos transmitiros tranquilidad porque este problema solo afecta a unos cuantos usuarios (un 17,43%) y ya nos hemos puesto manos a la obra para resolverlo.

| etiquetas: hackeo , menéame , medidas
204 88 2 K 759 tecnología
204 comentarios
204 88 2 K 759 tecnología
Comentarios destacados:                                  
#1 "Queremos transmitiros tranquilidad porque este problema solo afecta a unos cuantos usuarios (un 17,43%)"
Me quedo mas tranquilo, solo afecta a uno de cada cinco usuarios :shit: :shit: :shit:

En breve tu cuenta en : haveibeenpwned.com/
«123
  2. #2 cajadecartonmojada
    ¿Podríais aprovechar y entre esas medidas colar el cambiar el favicon por defecto de wordpress? :-D
    5 K 50
  3. #3 --557767--
    Contrarios o favorables?
    0 K 7
  4. #4 ElMag0 *
    Enviad un mail a los afectados, si sabéis quiénes son ( somos)
    70 K 578
  5. Franlloirrain #5 Franlloirrain
    #0 Habéis notificado a los usuarios afectados por mensaje privado?
    60 K 471
  6. Alakrán_ #6 Alakrán_ *
    Putin está detrás! Seguro! :troll:
    4 K 53
  7. painful #7 painful *
    #5 Traslado la pregunta a @admin y @patchgirl, que yo solo he enviado la entrada.

    Cc/ #4
    23 K 206
  8. #8 Deviance
    #5 Seria lo suyo que así lo hicieran.
    CC: #4
    8 K 72
  9. Vamvan #9 Vamvan
    #1 Ahora los hakers tienen el poder de escribir en meneame con las cuentas robadas :shit:
    10 K 90
  10. #10 Acabose *
    Mis comentarios sobre el pueblo elegido, eran broma, sois mi pueblo favorito y soy vuestro mayor admirador, hay trabajos más importantes para Pegasus{tinfoil} :tinfoil:
    6 K 59
  11. JungSpinoza #11 JungSpinoza *
    #4 #7 Asi como dejar claro que tipos de datos son los que se han filtrado. Logs de acceso, IPs, email, passwords. La sensitividad de esos datos puede ser muy diferente.

    Y ya si haceis un post-morten publico seria aun mejor. Hace falta ser mas transparente.

    @admin
    70 K 566
  12. oceanon3d #12 oceanon3d
    Pongo a disposición del que quiera mis datos de menéame...
    0 K 8
  13. #13 --557077--
    A mi no me miréis, eh. Parece que son búlgaros.
    15 K 164
  14. jm22381 #14 jm22381
    #9 Si empiezo a hablar bien de Putin sospechad... :tinfoil:
    51 K 438
  16. Ptleva #16 Ptleva
    17,43% no es poca broma.
    27 K 242
  17. pkreuzt #17 pkreuzt
    #11 Eso lo ponía la captura: nombre de usuario, correo y hash de la contraseña. Lo más crítico es el hash, porque probablemente hay gente que reutiliza la contraseña. De ahí no se saca directamente, según lo fuerte que sea puede que lleve algún tiempo. Primero pasaran por la lista de contraseñas comunes a ver que pillan y se irá aumentando el nivel de crackeo.

    Así que todo el mundo a cambiar la contraseña a la de ya. Y no solo aquí, si es que la reutilizáis en más sitios.
    11 K 111
  18. devilinside #18 devilinside
    Ehh, cuando me vayáis a poner un strike, han sido los jaquers, yo no he hecho ese comentario
    6 K 77
  19. #19 --723104--
    #16 Según ellos son solo "unos cuantos usuarios" :shit:
    Bonita forma de comenzar a gestionar una crisis de seguridad tan seria.
    20 K 148
  20. #20 --731676--
    Borrado rápido de cuentas de Pornhub! precios económicos. Descuentos a grupos. :shit:
    1 K 17
  21. #21 Magicus
    #16 Nadie dijo que sea broma, pero podría ser mucho más.
    1 K 13
  22. #22 cajadecartonmojada
    Para los que hayan cambiado su email en MNM a posteriori porque no querían que su email "bueno" estuviera en esta web, que sepáis que se mantiene y se guardan los dos: email y email_register :-*
    22 K 195
  23. Mangus #23 Mangus
     media
    3 K 49
  24. #24 --726381--
    #17 Yo no me sé la contraseña.

    Precisamente ayer la cambie según el modo aleatorio de Keepass.

    Y así con todas las demás contraseñas que tengo.
    2 K 35
  25. parapapablo #25 parapapablo
    #16 es que han pagado los 200$ para saber lo que les habían chorizado. Y se habrán enterado cuando ha llegado a portada {0x1f605}
    4 K 46
  26. #26 MarlonBlando
    #11 falso amigo detectado
    3 K 41
  27. manbobi #27 manbobi
    De ese 17,4 el 90% son clones
    3 K 44
  28. #28 Suikoden
    Ahora los juakers sabrán mis más oscuros secretos, me desmayo de forma melodramática...
    0 K 11
  29. cosmonauta #29 cosmonauta
    #15 Una gran parte de esas contraseñas puede romperse muy fácilmente, simplemente probando diccionarios.

    Para el resto, hace falta un poco más de esfuerzo.
    2 K 31
  30. RoneoaJulieta #30 RoneoaJulieta
    #10 Yo he cambiado las lámparas por candelabros de siete brazos, he recortado el gorro de la piscina para usar solo el casquete (kipá), me he circuncidado usando la puerta del baño y me estoy dando cabezazos contra la pared de la terraza (a modo de entrenamiento y como medida contra el dolor de la circuncisión casera)
    1 K 14
  31. Trom_petas #31 Trom_petas
    #29 esto afecta a los que logueamos con google?
    0 K 7
  32. aironman #32 aironman
    Estaría bien saber quienes tienen clones a partir de esa lista.
    1 K 20
  33. #33 Dedalos
    ¿Por qué son un 17,43 % y no todos los usuarios? ¿se filtraron y luego hackearon siguiendo algún criterio o perfil?
    ¿cuál es el origen del ataque?
    Nadie es ajeno aquí, creo yo, a que cualquier régimen autoritario estaría encantado de sabotear la libre expresión.
    En el mundo no solo se sabotean oleoductos, esto de hecho es probablemente más fácil e igual de grave.
    1 K 13
  34. #34 --728375--
    #30 Te falta practicar la usura con el vecino o en su defecto anexionarte su terraza. 8-D
    3 K 31
  35. Dramaba #35 Dramaba
    #14 Ya has empezado, no? :troll:
    3 K 29
  36. #36 --712432--
    -Pero si no ha hecho nada
    -¿Que no Lisa?...¿que no?....      media
    4 K -7
  37. currahee #37 currahee
    #32 Por mí, encantado. Me prepararé unas palomitas para ver cómo te metes tus acusaciones por donde no da el sol. ;)

    cc/ @HackerRuso
    2 K 42
  38. #38 Dedalos
    #12 ¿quien te los pidió? Insinúas que todo el mundo deber hacer lo mismo, que eres más chachi pq no tienes nada que "esconder" ¿?.
    1 K 17
  39. #39 --367404--
    "Análisis y medidas que hemos tomado"

    Ingenuo de mí he entrado esperando un artículo explicando cómo ha sido y las medidas técnicas tomadas para evitarlo en un futuro. No hacía falta que fuera algo extremadamente informativo (como hizo Cloudflare, por ejemplo) pero esto...

    ¿Resetear las contraseñas? No me lo esperaba.
    14 K 93
  40. currahee #40 currahee
    #14 El hackeo parece provenir de Bulgaria. ;)
    4 K 62
  41. Guanarteme #41 Guanarteme
    #13 Que, no Putin, que no nos engañan, esto es como lo del Nord Stream, han sido ellos para luego echarte a ti la culpa :troll:
    3 K 53
  42. Guanarteme #42 Guanarteme
    Han sido los del "sitio ese"... Estoy seguro. :tinfoil:
    1 K 33
  43. h3ndrix #43 h3ndrix
    #33 Que comenten lo del 17,43% suena a que los crackers usaron Blind SQL injection, que lleva "su tiempo" y mientras transcurría el ataque lo lograron mitigar. Mediante logs se puede ver el avance del ataque (es decir, por ejemplo los id's de usuarios que se lograron filtrar).
    2 K 21
  44. oceanon3d #44 oceanon3d *
    Pue que el Menéame me de 100€ o 2 botellas de whisky de malta de 15 años en compensacion por el daño.

    Para todo lo demás saber que mis datos básicos los debe de tener hasta Putin a esta alturas.
    4 K 28
  45. #45 --514246--
    #31 No, si lo han implementado correctamente (como es probable) puesto que necesitarían tener las keys oauth de meneame y enviar las peticiones de login desde la dirección que meneame a dado de alta en el oauth.

    Basicamente cuando meneame "hace" login contra google lo que hace es mandarle unas claves (que son de la plataforma, no es una password de user) a un servidor de google desde una dirección concreta, por ejemplo oauth.meneame.net, eso lo que hace es que google te muestra a ti, nunca a la plataforma, la pantalla de login de google y tu haces login en google, una vez has hecho el login correcto contra google este le responde que el user es valido o no a meneame en donde este le haya dicho como por ejemplo oauth.meneame.net/callback. ¿Que significa todo esto? que un atacante tiene que controlar muchos elementos en vivo para poder robar una sesion OAuth puesto que la password en si jamas pasa por meneame.
    26 K 197
  46. #46 Itrio
    #31 Sin tener mucha idea, diría que no debería afectar a los que usan un 'servicio de autenticación externo'.
    1 K 14
  47. Rembrandt #47 Rembrandt *
    ni un puto lo siento? ni un puto perdón porque no hemos sabido proteger vuestra privacidad?

    Que funcione la web mal es aceptable.... pero estas cosas son de vergüenza. Y no es que habéis salido al minuto uno a decirlo... no, horas (o días o semanas) después y venís con estas?

    este problema solo afecta a unos cuantos usuarios ......................................
    10 K 85
  48. #48 negoka
    #12 cuenta con mi karma!
    1 K 15
  49. Wintermutius #49 Wintermutius
    #29 No lo entiendo. Ni que estén cifradas, ni que pueda romperse ese cifrado.

    Creía que lo que se almacenaba era un hash de la contraseña, de tal manera que tener ese campo de la base de datos, no serviría de nada, porque el hash, a la inversa, no arroja una única solución.

    Pero bueno, cada cual hace lo que quiere con su seguridad, ...
    1 K 18
  50. Trom_petas #50 Trom_petas *
    #45 gracias, muy ilustrativo
    0 K 7
  51. #51 MichaelLong
    #17 Si sólo tienen el hash y la web está bien diseñada, dicho hash estará "salteado", es decir, se le añade alguna cadena extra antes para hacer inviable usar diccionarios inversos. Si también han conseguido esta "salt" que suele estar en la parte del código y no en la base de datos, facilita las cosas, pero más tiempo y potencia de cálculo van a necesitar que si no.
    4 K 42
  52. aironman #52 aironman
    #37 Bah, va a ser indemostrable a poco que hayan usado correos electrónicos distintos y una cuenta u otra sean usadas en dispositivos distintos. Qué más da, queréis hacer astroturfing? pues muy bien, a mí me da igual.
    0 K 10
  53. #53 negoka
    #38 está evidenciando que en páginas como esta no deberías usar passwords "seguros" para tí. De verdad que aquí hay que explicarlo todo... Que muy bien, la ip, blabla. En fin.
    0 K 7
  54. Trolencio #54 Trolencio
    Genial, soy uno de los premiados :hug: :hug: :hug:

    Oh no — pwned!
    Pwned in 1 data breach and found no pastes (subscribe to search sensitive breaches)
    3 K 52
  55. #55 ElMag0
    #11 jaja echarán tierra y aquí no ha pasado nada. En España lo que se hace es como si nada porque se piensa que la transparencia hace perder la confianza, muy equivocados están.
    1 K 12
  56. currahee #56 currahee
    #52 Qué guay tiene que ser estar en tu cabeza. Escribiendo las reglas y las acusaciones sobre la marcha. Así siempre ganas! :-)
    Un besito, péiperman. {0x1f618}
    0 K 18
  57. #57 ElMag0 *
    duplicado
    1 K 11
  58. #58 MichaelLong
    #49 El probema es que hay diccionarios inversos de hash, algunos bastante grandes. Así que si el hash no está bien implementado con medidas adicionales puede ser extremadamente fácil hacerte con un buen puñado de contraseñas, al menos de las relativamente sencillas.
    3 K 30
  59. #59 mariopg
    se hablaba demasiado mal de eeuu...
    1 K 13
  60. #60 --130028-- *
    Está meta revolucionada. Hoy me ha llegado al correo de la web de mi actividad una demanda de extorsión de 3.000$ en caracteres orientales-inglés. En principio no hay conexión con mnm.
    0 K 7
  61. #61 aauivozcrx
    sois muy tontos de verdad
    1 K 12
  62. kAlvaro #62 kAlvaro
    > os pedimos, como siempre, que evitéis usar la misma contraseña en varios sitios web y que si es posible, cambiéis la de Menéame.

    Y dos veces que la he cambiado, gracias a la genial aplicación de BitWarden para Android (lo he acabado haciendo desde el PC).
    0 K 6
  63. #63 --516070--
    #58 #49 Lo habitual es que el hash tenga una sal, por lo que el diccionario no sirve.

    La sal es un añadido aleatorio a la contraseña. Sí mi contraseña es 12345 y tiene una sal de 3 cifras, para el sistema la contraseña realmente es 12345/aQ . Los dicciinarios tienen las contraseñas más habituales, tendrán "12345", pero no con la sal aleatoria.
    1 K 22
  64. aironman #64 aironman
    #56 Otro para tí, Sobelito.

    "3 millas de subida y 3 de bajada."

    Recuerda que se saluda al rango, no a la persona. :-D
    0 K 10
  65. #65 --155419--
    Imaginaos cuando no exista ya el dinero físico y TODOS nuestros datos estén en las nubes.
    1 K 14
  66. #66 MichaelLong
    #63 Eso, "lo habitual", esperemos que esta ocasión sea una de ellas y que no sea trivial.
    2 K 26
  67. aironman #67 aironman
    #56 Te he acusado a tí de algo? que yo sepa, de nada.
    0 K 10
  68. kAlvaro #68 kAlvaro
    #49 Eso es irrelevante. Si dos contraseñas producen el mismo hash, ambas son igual de buenas.
    1 K 17
  69. Verdaderofalso #69 Verdaderofalso
    #18 me han hakeiado la cuenta xD
    2 K 40
  70. Wintermutius #70 Wintermutius
    #58 Pues de nuevo no lo entiendo. Un hash se implementa no solo con la contraseña de cada usuario, sino además con una contraseña maestra y otros datos de cada usuario, todo concatenado, combinado, etc., que al no ser públicos, no es posible descifrar de un modo fácil. No sabes que obtienes al darle la vuelta al hash.

    Otra cosa es que hayan accedido la función que genera el hash durante el alta o el cambio de contraseña. Pero eso también es complicado, porque eso puede montarse en un procedimiento almacenado de la base de datos al margen de la Web.
    1 K 10
  71. Verdaderofalso #71 Verdaderofalso
    #27 el ataque de los clones xD
    1 K 31
  72. Verdaderofalso #72 Verdaderofalso
    #28 pues a ver si tienen huevos a mirar mi historial xD
    1 K 31
  73. hombreimaginario #73 hombreimaginario
    Mi no veo nada rrarro en mia kuenta. Mia kuenta funsiona perrfektamenta.
    да здравствует матушка россия!!!
    10 K 86
  74. Wintermutius #74 Wintermutius
    #63 Exacto. Y la sal puede ser algo muy jodido, porque puede ser una función del login, la contraseña, la fecha de alta y una contraseña maestra. Es decir, diferente para cada usuario. Y eso concatenarse al password para crear el hash.
    0 K 7
  75. Verdaderofalso #75 Verdaderofalso
    #9 si veis que empiezo a mandar noticias que hablen bien de Qanon sospechar
    2 K 46
  76. Verdaderofalso #76 Verdaderofalso
    #4 eso sería lo más lógico desde el minuto 1
    3 K 40
  77. Verdaderofalso #77 Verdaderofalso
    #6 yo tiraría a EEUU :troll: xD
    1 K 29
  78. #78 lectorcritico
    #45 #50 Si os interesa estos sistemas hubo otro que venia a sustituir al OpenID, pero creo que ya no cuajo.
    Es una pena que no haya una implementacion totalmente libre o servicios que lo ofrezcan.
    podcast.jcea.es/podcastz/10

    Tambien hay mucho "como funciona" de otro sofwares aqui.
    www.aosabook.org/en/index.html
    2 K 32
  79. Verdaderofalso #79 Verdaderofalso
    #65 criptobro
    0 K 20
  80. #80 Mustela
    #4 #7 No os olvidéis de @god, máximos responsables.
    0 K 10
  81. Wintermutius #81 Wintermutius *
    #68 Claro. Pero no se trata de sacar la inversa del hash de la contraseña. Hay una sal, así hacer el proceso contrario se vuelve muy jodido, sobre todo si no sabes cómo se genera esa sal.
    0 K 7
  82. ContinuumST #82 ContinuumST
    Contraseña cambiada... en fin... Otra nueva contraseña para la lista...
    0 K 13
  83. #83 --479173-- *
    ¿finofilipino el siguiente?
    Tampoco funciona.
    0 K 9
  84. cosmonauta #84 cosmonauta
    #31 Probablemente no. Los eevgogole no creo que estén afectados.
    1 K 22
  85. victorjba #85 victorjba
    #9 Es que ya no quedaban cuentas nuevas para los multicuentas y han tenido que improvisar
    0 K 9
  86. sorrillo #86 sorrillo
    #33 Con lo que peta menéame tiene mérito que hayan conseguido que una de cada cinco peticiones no les diera error :troll:
    6 K 53
  87. Vodker #87 Vodker
    #39 un comunicado vergonzoso.
    1 K 14
  88. Spirito #88 Spirito
    #14 Si veis que hago genuflexiones al estilo alcayata o me arrastro besando los pies a Biden, como otros que yo me sé, sospechad... :tinfoil:
    3 K 29
  89. #89 lectorcritico
    #66 Supongo que usan una libreria que lo implementa que es mas facil y probado=seguro.
    Si han accedido a las sal, tambien pueden probar contraseñas a ver si la descifran, pero cada usuario tendra su sal y aunque haya pass repetidas tiene que rehacer el trabajo.

    Se hace para prevenir ataqckes rainbow que dices en #58
    Ademas el algoritmo se repite a veces cientos de miles de veces para que el ataque sea mas costoso.
    En la wikipedia lo explica bastte bien.
    #63 en.wikipedia.org/wiki/Salt_(cryptography)

    #51 Creo que en el codigo seria la pimienta que añade a la salt para que sea mas dificil que tenga todos los componente para descrifrar la pass.
    en.wikipedia.org/wiki/Pepper_(cryptography)
    #55 Si eres transparente y se ve que trabajas bien aumenta la confianza, si lo que se ve es que no se trabaja bien la confianza disminuye.
    1 K 22
  90. dunachio #90 dunachio
    Esto con @gallir no pasaba.
    Qué vuelva gallir, los avatares cuadrados y ya de paso que regresen @fragedis, @butnot, la puta ardilla, la bruja psicóloga y otros tantos.
    ¡Hijos de Putin!
    2 K 25
  91. #91 ElSev
    #22 precisamente yo lo cambié hace poco porque un usuario "poderoso" me llamó de todo y por si le daba por buscar gresca en el MundoReal {0x2122}

    Qué tranquilidad me das.
    2 K 17
  92. #92 Burg
    Se sabe que el hackeo viene por las brechas de seguridad de la nueva web. (Esa que nadie usa porque anda rota :troll: :troll: :troll: )
    1 K 16
  93. #93 ElSev
    #60 qué bien, la de jalarse el dong, un clásico
    0 K 11
  94. #94 ElSev
    #65 yo ya tengo "en la nube" (en el banco) el 95% de mis ahorros...
    0 K 11
  97. calaña #97 calaña
    A mí echarme un cable con esto porque estoy pelao en estas cuestiones, per favore.
    0 K 17
  98. #98 --8899--
    #40 ¡Qué bulgares! :troll:
    8 K 68
  99. Arariel #99 Arariel
    Es buena costumbre cambiar la contraseña cada cierto tiempo. Lo acabo de hacer. En el trabajo os o lugan a cambiarla cada tres meses (Administración Autónoma). Es un poco tostón, pero hay trucos para recordarla con facilidad.
    123456, luego 234567, 345678, etc. :troll:
    1 K 37
  100. #100 Darkdog
    #70 fuerza bruta. En local es muy fácil pasar un diccionario amplio y buscar colisiones.

    Si tu contraseña es "alcornoque" un ataque de diccionario la sacará rápido.

    La función de hash es bastante estándar, mitad md5 mitad sha.

    Si tenéis una contraseña débil probablemente la saquen sin mucho problema tenga o no sal.
    1 K 12
«123
comentarios cerrados

menéame