Desde la administración de Menéame os confirmamos que hemos sufrido un
ataque en el que se robaron datos de algunos usuarios. El ataque fue atajado inmediatamente pero no hemos podido evitar la filtración de datos. Queremos transmitiros tranquilidad porque este problema solo afecta a unos cuantos usuarios (un 17,43%) y ya nos hemos puesto manos a la obra para resolverlo.
Comprueba si tu ID está entre esos.
El otro día que veía casi 20.000 comentarios extraños en ruso y otros, intenté borrarlos pero no lo conseguí.
No de lo que es un dong y si realmente hay algún peligro, sin querer abusar, si tienes algún consejo, gracias.
Pero lo más importante, ¿cómo habéis detectado el ataque y cómo se ha cortado?
Ejemplo: www.armas.es/foros/viewtopic.php?t=1078403
Lo primero es saber si es una amenaza vacía para poder descartarlo directamente. Cada vez son más avanzados y con la IA y fotos públicas que tengas se pueden hacer maravillas
youtu.be/jDEivL79E3E
En lo que se refiere a la terraza, no me convence la anexión. Soy más partidario de un ataque y retirada cuando está la vecina tomando el sol, sin mayores responsabilidades.
No se trata de que sea mejor o peor que un postit, sino si es más fácil, si es más sencillo.
Y si tocas los cojones con innecesarios cambios de contraseña, con no reutilizar antiguas, con exigir símbolos y una longitud fija y mamarrachadas de esas para muchos lo fácil y sencillo es ponerlo en un postit y listo.
Quien crea que mejora la seguridad tocando los cojones con la contraseña está metiendo la pata.
Pero el postit, más seguro no es, es pereza. Te lo pones en un "keep" o un "draft" en el correo y es igual de sencillo y más seguro.
Obligar a cambiarla una vez al año hace mucho daño.
No he dicho que el postit sea más seguro, el postit es lo más inseguro (para ataques locales) pero es la respuesta natural a que te toquen los cojones con peticiones irracionales sobre una contraseña que no hacía falta cambiar para nada ni que llevase símbolos ni que fuera de ...
Son las llamadas colisiones, en las cuales dos entradas distintas generarían el mismo hash.
Una vez se logra el mismo hash... las entradas serían "equivalentes".
A principio de verano me suplantaron la personalidad en Whatsapp, que no uso, y en Telegram, que no tengo. Por si acaso lo denuncié presencialmte en la guardia civil y aunque no querían al no aportar pruebas*, conseguí que me hicieran un papel en el que manifestaba lo ocurrido; al poco me llegó desestimado* del juzgado.
Repito, gracias por tu amabilidad.
Y si algún día alguien entra en menéame con mi usuario y decide escribir algo en mi nombre o borrar la cuenta o lo que sea pues asumo ese riesgo. A menéame no le perjudica en nada que eso ocurra. Así que aunque me indiquen que mi usuario ha sido afectado (por la hipótesis de número de ID correspondería) no tengo intención de cambiar la contraseña, y si me obligan intentaré volver a poner la misma, y si no me dejan pues me tocarán las pelotas con ello innecesariamente.
De esta forma puedo entrar en básicamente cualquier sitio donde estoy dado de alta sin tener que llevar encima ni abrir ningún gestor de contraseñas. Y me evito el riesgo que me entren en ese gestor de contraseñas y las tengan todas.
Es habitual que el buscador me envíe a un foro que no conozco de nada pero necesito entrar para ver el resultado de la búsqueda, la mitad de las veces pruebo con mi correo basura (de yahoo) y mi contraseña (la fórmula) y resulta que me registré allí hará una década y obviamente ni me acordaba.
Me parece bien que la gente haya encontrado que la solución del gestor de contraseña les resuelve un problema, me toca las pelotas que algunos incompetentes me pretendan obligar a mí a usar esa misma solución cuando la mía es perfectamente válida.
Hace más años, unos diez o así, a Adobe le pasó lo mismo y tampoco tenían sal.
Pero debería ser la excepción. Aún así recuerdo cuando una empresa colaboradora de mi trabajo nos empezó un producto que iba a ser nuestro y que íbamos a continuar nosotros. Una de las cositas que hicieron fue el sistema de login, y la contraseña iba en texto plano en la base de datos.
Y si no, tienes Keepassx y tu te lo montas para sincronizar si quieres y si no, pues local o un pendrive. Si la formula te funiona bien, pero yo veo que o bien es inseguro (ya que la misma fórmula se aplica todos los sitios y la puedes olvidar) o bien es compleja de calcular - ni que sea contar letras o lo que hagas ya te tiras un rato.
¿aparte que haces con 2fa?¿tampoco te mola?
No hay que ser alarmistas, al parecer el sitio cuenta con un sistema de seguridad de capa 8 excelente. Mirad, si escribo mi contraseña ******** automáticamente me la cambia por asteriscos, yo la sigo viendo porque la he escrito y el sistema me ofrece la edición pero los demás solo ven asteriscos.
youtu.be/ylX7fcqEa8w
Con la ventaja que los ataques a Bitcoin son públicos, por lo que de ser vulnerable lo sabríamos.
Ninguno de los softwares que citas han sido tan puestos a prueba como Bitcoin y si son vulnerables puedes no enterarte por usarse en ataques dirigidos.
En el caso de Bitcoin yo me fío de crear la clave privada en un ordenador con sistema operativo acabado de instalar que no ha estado ni va a estar conectado a ninguna red, ni Internet ni LAN ni WAN ni nada. Y usando USBs como sistema de comunicación con el exterior.
En el caso del gestor de contraseñas ese sistema no es práctico, no es realista. El gestor lo acabarás teniendo en un ordenador conectado a Internet, donde puede haber un keylogger capturando la contraseña que introduces para abrir el almacén de contraseñas. Los vectores de ataque son muy distintos y en absoluto es necesario que el sistema de cifrado sea vulnerable para que su implementación o uso lo sea.
El keylogger lo puedes tener en todos lados, incluyéndo el teléfono donde algún día se supone que usaras el monedero de Bitcoin para pagar algo, digo yo. Aún así, la clave de por si no sirve de mucho porque necesitarían tener la base de datos que es local, o autenticarse remotamente y sincronizar cosa poco factible si tienes 2fa y en el momento en el que recibes una notificación en el mail tras loguearte.
La paranoia no está demás, pero vamos, el que esté conectado a Inet en este caso particular es lo de menos. Si bien es conveniente.
Te contesto a lo que añadiste en el otro comentario tras tu edición:
¿aparte que haces con 2fa?¿tampoco te mola?
El 2fa en muchos casos es un SMS en el mismo terminal móvil desde el que accedes al servicio, si el sistema ha sido atacado ese SMS puede ser capturado. El 2fa con sistema TOTP lo uso en ciertos sitios especialmente sensibles. Y no uso el terminal móvil para acceder a éstos, solo el ordenador, que no tiene configurada la aplicación de TOTP.
El keylogger lo puedes tener en todos lados, incluyéndo el teléfono donde algún día se supone que usaras el monedero de Bitcoin para pagar algo, digo yo.
La clave privada no está en el teléfono, es irrelevante que haya un keylogger. La clave privada puede estar en un ordenador "air gapped" con conexión por memoria USB o bien en un hardware dedicado como el Ledger.
Está claro, un password que no usas es más seguro que uno que si usas.
Y el Yubikey tienes que llevarlo encima.
Estas mezclando todo en un batiburrillo.
Para un foro de mierda que he entrado dos veces en una década no voy a usar un Yubikey ni un TOTP y casi seguro que ni ofrecen la opción.
Para un banco posiblemente el banco es el que decida que tengo que usar SMS sin opción a elegir.
Para montones de servicios la contraseña es necesaria pero el 2fa es un engorro innecesario, no es tan importante lo que hay allí como para necesitar liarse con eso. Si el incompetente del foro exige una contraseña con el formato de sus pelotas pues acabaré haciendo un restablecer contraseña cada vez que vaya o bien usaré el LastPass o similar para guardar allí la incompetencia de ese picateclas.
Para una casa de cambio de criptomonedas pues ahí sí que si es seria te ofrecerán todo tipo de opciones, como el Yubikey, TOTP, etc. pues ahí aplicas lo que te parezca más seguro aunque sea molesto tener que usarlo porque ahí la seguridad sí es lo primordial.
Hoy en día "air gapped" ya ni es seguro con "bad usb" y con side channel attacks, puestos ya a la paranoia extrema.
Y el ataque del martillazo en la cabeza también es efectivo. Hay que saber poner los límites a la paranoia extrema, que no estoy fabricando armas nucleares que no le gusten a EEUU.
Ya, y lo llevo, en un llavero, tengo en casa y en el llavero.
Sobre lo demás vale, aunque creo que en Meneame entras más a menudo.
Lo que no hago es salir
Fuente: es.m.wikipedia.org/wiki/Colisión_(hash)#:~:text=En informática, una .
Pero para el caso de contraseñas no necesitas conocer el valor original, solo uno que dé el mismo hash que la contraseña original que no conoces. Ya que el servicio web tampoco conoce la contraseña original, solo su hash. Y por lo tanto te permitirá entrar.
youtu.be/XhGOKMtuDfE
Сладких снов, с одним открытым глазом.
Lo dejé en cuanto me enteré que era un idioma.
Para más chistes de rabiosa actualidad, llamar al 623871628467
Lo cambié en la versión "rancia" pero solo conseguí que ahora de un 403, lo intenté en la otra... y tuve que resetearlo.
A mi me gustaría saber como puede ser que en la filtración estén cuentas que llevan de baja muchos años. ¿alguien los sabe?