Desde la administración de Menéame os confirmamos que hemos sufrido un
ataque en el que se robaron datos de algunos usuarios. El ataque fue atajado inmediatamente pero no hemos podido evitar la filtración de datos. Queremos transmitiros tranquilidad porque este problema solo afecta a unos cuantos usuarios (un 17,43%) y ya nos hemos puesto manos a la obra para resolverlo.
Me quedo mas tranquilo, solo afecta a uno de cada cinco usuarios
En breve tu cuenta en : haveibeenpwned.com/
Cc/ #4
CC: #4
Y ya si haceis un post-morten publico seria aun mejor. Hace falta ser mas transparente.
@admin
Así que todo el mundo a cambiar la contraseña a la de ya. Y no solo aquí, si es que la reutilizáis en más sitios.
Bonita forma de comenzar a gestionar una crisis de seguridad tan seria.
Precisamente ayer la cambie según el modo aleatorio de Keepass.
Y así con todas las demás contraseñas que tengo.
Para el resto, hace falta un poco más de esfuerzo.
¿cuál es el origen del ataque?
Nadie es ajeno aquí, creo yo, a que cualquier régimen autoritario estaría encantado de sabotear la libre expresión.
En el mundo no solo se sabotean oleoductos, esto de hecho es probablemente más fácil e igual de grave.
-¿Que no Lisa?...¿que no?....
cc/ @HackerRuso
Ingenuo de mí he entrado esperando un artículo explicando cómo ha sido y las medidas técnicas tomadas para evitarlo en un futuro. No hacía falta que fuera algo extremadamente informativo (como hizo Cloudflare, por ejemplo) pero esto...
¿Resetear las contraseñas? No me lo esperaba.
Para todo lo demás saber que mis datos básicos los debe de tener hasta Putin a esta alturas.
Basicamente cuando meneame "hace" login contra google lo que hace es mandarle unas claves (que son de la plataforma, no es una password de user) a un servidor de google desde una dirección concreta, por ejemplo oauth.meneame.net, eso lo que hace es que google te muestra a ti, nunca a la plataforma, la pantalla de login de google y tu haces login en google, una vez has hecho el login correcto contra google este le responde que el user es valido o no a meneame en donde este le haya dicho como por ejemplo oauth.meneame.net/callback. ¿Que significa todo esto? que un atacante tiene que controlar muchos elementos en vivo para poder robar una sesion OAuth puesto que la password en si jamas pasa por meneame.
Que funcione la web mal es aceptable.... pero estas cosas son de vergüenza. Y no es que habéis salido al minuto uno a decirlo... no, horas (o días o semanas) después y venís con estas?
este problema solo afecta a unos cuantos usuarios ......................................
Creía que lo que se almacenaba era un hash de la contraseña, de tal manera que tener ese campo de la base de datos, no serviría de nada, porque el hash, a la inversa, no arroja una única solución.
Pero bueno, cada cual hace lo que quiere con su seguridad, ...
Oh no — pwned!
Pwned in 1 data breach and found no pastes (subscribe to search sensitive breaches)
Un besito, péiperman.
Y dos veces que la he cambiado, gracias a la genial aplicación de BitWarden para Android (lo he acabado haciendo desde el PC).
La sal es un añadido aleatorio a la contraseña. Sí mi contraseña es 12345 y tiene una sal de 3 cifras, para el sistema la contraseña realmente es 12345/aQ . Los dicciinarios tienen las contraseñas más habituales, tendrán "12345", pero no con la sal aleatoria.
"3 millas de subida y 3 de bajada."
Recuerda que se saluda al rango, no a la persona.
Otra cosa es que hayan accedido la función que genera el hash durante el alta o el cambio de contraseña. Pero eso también es complicado, porque eso puede montarse en un procedimiento almacenado de la base de datos al margen de la Web.
да здравствует матушка россия!!!
Es una pena que no haya una implementacion totalmente libre o servicios que lo ofrezcan.
podcast.jcea.es/podcastz/10
Tambien hay mucho "como funciona" de otro sofwares aqui.
www.aosabook.org/en/index.html
Tampoco funciona.
Si han accedido a las sal, tambien pueden probar contraseñas a ver si la descifran, pero cada usuario tendra su sal y aunque haya pass repetidas tiene que rehacer el trabajo.
Se hace para prevenir ataqckes rainbow que dices en #58
Ademas el algoritmo se repite a veces cientos de miles de veces para que el ataque sea mas costoso.
En la wikipedia lo explica bastte bien.
#63 en.wikipedia.org/wiki/Salt_(cryptography)
#51 Creo que en el codigo seria la pimienta que añade a la salt para que sea mas dificil que tenga todos los componente para descrifrar la pass.
en.wikipedia.org/wiki/Pepper_(cryptography)
#55 Si eres transparente y se ve que trabajas bien aumenta la confianza, si lo que se ve es que no se trabaja bien la confianza disminuye.
Qué vuelva gallir, los avatares cuadrados y ya de paso que regresen @fragedis, @butnot, la puta ardilla, la bruja psicóloga y otros tantos.
¡Hijos de Putin!
Qué tranquilidad me das.
123456, luego 234567, 345678, etc.
Si tu contraseña es "alcornoque" un ataque de diccionario la sacará rápido.
La función de hash es bastante estándar, mitad md5 mitad sha.
Si tenéis una contraseña débil probablemente la saquen sin mucho problema tenga o no sal.