Hackers han robado y publicado una base de datos que contiene los logins y passwords de casi 5 millones de cuentas Google, según la fuente de noticias tecnológicas rusa CNews.ru.
Apuntan que probablemente no les hayan robado las contraseñas a Gmail sino que provengan de otros sitios web, por lo que afectaría principalmente a la gente que usa la misma contraseña del correo electrónico en otros sitios.
Y en esta web se puede consultar si efectivamente tu cuenta ha sido afectada y muestra los dos primeros caracteres de la contraseña, lo que puede ayudar a saber si tienen o no la contraseña de verdad o proviene de otro sitio: isleaked.com/en.php
Si no queréis poner vuestro correo electrónico podéis usar comodines, por ejemplo: sor*@gmail.com
Apuntan que probablemente no les hayan robado las contraseñas a Gmail sino que provengan de otros sitios web, por lo que afectaría principalmente a la gente que usa la misma contraseña del correo electrónico en otros sitios.
Y en esta web se puede consultar si efectivamente tu cuenta ha sido afectada y muestra los dos primeros caracteres de la contraseña, lo que puede ayudar a saber si tienen o no la contraseña de verdad o proviene de otro sitio: isleaked.com/en.php
Si no queréis poner vuestro correo electrónico podéis usar comodines, por ejemplo: sor*@gmail.com
#15 gracias la mía la han pillado pero bien, los dos primeros carácteres coinciden suerte que tengo lo de la verificación en dos pasos de google y si inician sesión en otro sitio me envían un SMS a mi móvil.
Estos rusos son los masters de terrorismo a la privacidad, ya llevan varias hazañas de estas. Ahora, que si bien no es la gran cosa para la cantidad de usuarios, mas vale que no caiga ninguno de nosotros.
No tengo muy claro lo seguro que es, pues hay algunos usuarios de reddit que desconfían. Yo me lo he bajado (porque estoy en el trabajo, en casa hubiese dudado...) y no parece tener virus ni nada, es un bloc de notas.
Yo me he bajado el archivo y me he puesto a comprobar no solamente mis cuentas sino las de ciertas personas cercanas y curiosamente ha salido la de un conocido, al cual he avisado rápidamente. Así que de fake nada.
Otra cosa es lo de siempre, de dónde habrá salido la información. No he preguntado pero conociendo a esta persona, sabiendo cómo es con la seguridad y viendo los dos primeros caracteres de su contraseña (que apuntaban a su nombre), huele a que era un sitio que como mucho iba a visitar tres veces en su vida.
O el sitio de porno donde guardar sus videos favoritos
#30Si fueran de Google habrían robado los hashes, no las contraseñas.
No necesariamente, el robo puede haberse producido en el navegador o incluso en la parte de los servidores de Google que reciben la contraseña y la comprueban (aunque no la almacenan).
Aunque todo apunta que se han robado en otros sitios web.
#15 Está bien lo de los comodines, pero tras comprobar que había 1 match, les he dado mi dirección sin comodines para ver lo de los dos primeros caracteres si era cierto y resulta que no estaba afectada
Acabo de entrar en isleaked.com/en.php, dice que mi cuenta es de las afectadas y como prueba me dice los dos primeros símbolos de mi contraseña. El problema es que esos símbolos NO ESTAN en mi contraseña, por lo que debe de ser un robo de la época de matusalen.
#15 acabo de comprobarlo, estoy en esa lista, las 2 primeras letras se corresponden con una contraseña que cambie hace más de 4 años (si, cambio la contraseña una vez al año como mínimo)
Lo mismo se la robaron a un tercero
pues q raro, a mi me dice que mi mail no ha sido hackeado....pero esta mañana he recibido una advertencia de Google, avisandome de un acceso no autorizado a mi cuenta desde China (bendita doble validacion )
Yo por si acaso ya me he cambiado la contraseña y ahora es un número más
#20 Revisa tu ordenador en busca de troyanos. Si no está infectado tiene que ser algún otro equipo donde hayas hecho login en Gmail. Si en el equipo infectado también has hecho login en bancos, cambia cuanto antes esas contraseñas.
#42#47 Si os han robado una vez no os confiéis, pueden haberlo hecho de nuevo.
<<Respecto a Apple, a mí me encantaría que mejorasen la configuración del filtro SPF, que no hubiera posibilidad de hacer Brute Forcing en ningún sitio de la web - que ya está hecho según parece - que pudiera poner una clave extra de cifrado del backup - al igual que se hace en Apple iTunes -, que el segundo factor de autenticación funcionase en Apple iCloud y a ser posible que las contraseñas caducasen y se avise mejor de todos los inicios de sesión de cuentas (ahora se puede configurar una alerta por e-mail).>>
En este caso parece que google no tiene nada que ver. Aunque ya se verá.
Yo la he cambiado por si acaso. De todas formas, es aconsejable cambiarla cada pocos meses. Espero que esto se alcare y se sepa si es un bulo, es ofcial o qué.
#41#45 que se ve que mola más meterse con apple que con google no te lo niego.
Pero en caso que comentáis salieron a la luz cosas que se podía considerar que Apple había hecho mal, como obligarte a subir a su iCloud todas las fotos que tomaras con tu iphone, no insistir en que las personas usaran contraseñas seguras o authenticación de 2 factores (cosa que ahora sí hace y google llevaba haciendo mucho tiempo), o que directamente no tenia 2factor Auth. Y le ha acabado explotando en la cara. Porque habia mucho material sensible en la nube protegido por medidas de mierda.
Tengo la lista de afectados.
Si alguien quiere saber si está en la lista, que me envíe su nombre de usuario (email) y contraseña (sólo enviar por privado, por motivos de seguridad) y les informo.
No tiene por que ser fake pero tampoco tiene por que cundir el pánico puesto que tal y como explica la noticia, han sido cuentas robadas en un largo periodo de tiempo mediante 'phishing' (me sorprende la cantidad de gente que cae en estos engaños) y troyanos.
#45 En el caso de apple por lo que se fue un ataque a su servidor con un script público en phyton, aparte de que sacaron fotos supuestamente borradas y que por defecto se mantienen copiadas en icloud, asi que no, no es igual ni de lejos
La mía dice que está, pero la contraseña no coincide, curiosamente la contraseña que tienen es la que suelo usar para registrarme en foros donde no participio y solo piden registro, así que de hackear google me da que nada, han hackeado foros, pero es muy probable que gran cantidad de usuarios tengan la misma contraseña en el foro que en su correo electrónico.
Hmm, será mi pc pero le cuesta abrir el txt un wüebo con el notepad, ¿alguno utiliza otro programa que no le cueste tanto o me veo "Aliens 2" en lo que lo abre entero?
#54 Apple no te obliga a subir las fotos a iCloud (yo tengo deshabilitado el Foto Stream). Respecto a no insistir en la seguridad... es lo que dice #50 , yo soy el responsable de la seguridad de mi contraseña, no necesito a papá Apple (ni a papá Google, mi correo no está afectado, por ejemplo)
#49 para mi que habrán hackeado es una web de terceros y como el 90% de los mortales utiliza el mismo password para todo, habrán conseguido hacer login en un número importante de intentos. O eso espero, porque como he dicho la contraseña filtrada no coincide con la de mi cuenta
#51 Mmm... Creo que es mezclar cosas.
Es verdad que Apple tenía el fallo de poder ingresar contraseñas erróneas sin bloquearse. (Lo corrigieron justo el día antes del Fappening).
También es cierto que no tienen, todavía, habilitada la seguridad de dos pasos en iCloud (que está en beta desde hace tiempo).
Pero las fotos no se obtuvieron por esos fallos. Fueron ingeniería social. Precisamente, lo que se comenta en la noticia que enlazas es un man-in-the-middle de toda la vida.
Eso lo puedes hacer con cualquier servicio. Lo mismo con el phising.
Apple dio un comunicado diciendo que no se había explotado ninguna vulnerabilidad en sus servicios, como imagino hará Google con este caso.
De hecho, algunas de las fotos se comentó que venían de Dropbox. Y al menos una afectada confirmó vía Twitter que ella usaba un teléfono con Android.
Por lo tanto, dada la evidencia, no hay nada que indique que fue un fallo de Apple: la empresa lo niega, los expertos demuestran que se pueden obtener datos con simples técnicas de ingeniería social, incluso las fotos no has salido todas de iCloud, y hasta no todas fueron tomadas con iPhones.
Pero en los comentarios de esa noticia, la culpa era de Apple.
Como digo, aquí hay un doble rasero. Todo lo que sea hacer carnaza de Apple, tiene posibilidades de ir a portada. Todo lo que afecte a empresas o servicios que sean bien vistas en Menéame, se reciben con otro talante. Lo he comprobado con las noticias que hablan de las fabricas chinas: de las de Foxconn/Apple hubo mucho en portada y se puso a parir a la empresa. De las demás, envié yo unas cuantas y pasaron sin pena ni gloria.
Pero esto es una historia antigua ya en Menéame. Se sabe que ciertos temas generan rechazo, que existe un cierto odio por ciertas empresas y ciertas personas, y lamentablemente, cuando toca algo de esto, se acaba la objetividad.
Si no fuera porque el sitio tiene muchas cosas positivas, este tipo de cuestiones echarían atrás a mucha gente (yo incluido).
Pero bueno, como todo, te acostumbras a que no puedes hablar de según que temas con cierta normalidad por aquí...
localizada la direccion de un amigo, le contacto, le indico las 2 primeras letras de su contraseña.
Me dice que esa contraseña es la primera que uso en gmail cuando se la abrio, hace tropecientos años, la informacion que contiene puede ser bastante vieja en algunos casos
#68 En el enlace que pone #72 tienes formas de hacerlo sin móvil, no las he probado, pero puedes usar uno parecido a la tarjeta de coordenadas de las tarjetas del banco, por ejemplo.
#22No tengo muy claro lo seguro que es, pues hay algunos usuarios de reddit que desconfían. Yo me lo he bajado (porque estoy en el trabajo, en casa hubiese dudado...) y no parece tener virus ni nada, es un bloc de notas.
Usando Google Authenticator vivo más tranquilo... Dos factores de autenticación, por un lado tu password normal y luego un código que cambia cada 30 segundos. 100% recomendado y compatible con Google, Facebook, Outlook...
#54 Apple tenía (y tiene, y tendrá) fallos en sus sistemas y políticas de seguridad. Ocurre en todas partes.
El tema era si se había utilizado alguno de esos fallos para obtener esas fotos. Y nada indica que fuera así.
Como en este caso nada indica que la culpa sea de Google.
Lo que molesta a veces es el doble rasero. Los que saltan al cuello de Apple, aunque no haya indicios de que sea la culpable (y muchos decían que debían sancionar a la empresa!) pero cuando ocurre algo similar con otra empresa que les cae mejor, relativizan el tema...
Un poco lo que comento en #75.
Pero, en fin, esto es Menéame, y con ciertas cuestiones no creo que haya nunca demasiada objetividad (aunque siempre hay gente sensata con la que se puede discutir).
#15Apuntan que probablemente no les hayan robado las contraseñas a Gmail sino que provengan de otros sitios web, por lo que afectaría principalmente a la gente que usa la misma contraseña del correo electrónico en otros sitios.
Tendrian que crear un sistema distinto. El actual lo veo casi inviable, yo no subscribo en algunos sitios por no tener otra contraseña.
La contraseña no deberia salir del navegador. El servidor manda un salt que se "suma" a la contraseña, el servidor hace lo mismo y si el resultado es el mismo entonces es correcta. En la creacion de la cuenta tambien se puede hacer lo mismo envia una salt de servidor al navegador lo "suma" y envia al servidor. El servidor guarda el salt y el resultado. No hace falta enviar la password nunca y no tiene pistas de la contraseña. Podrias usar la misma contraseña en varios sitios y no lo sabrian. Tambien tener pass estilo Web+pass y tampoco daria pistas.
Se pueden combinar los dos salt el de sesion o el servidor para tener los dos tipos de seguridad.
Tecnicamente no es dificil, porque no se hace? supongo que lo dificil es ponerse de acuerdo.
Ojo, en mi caso, en mi cuenta afectada, ponía que los 2 primeros caracteres de la contraseña eran CO, cuando no era correcto ( tenía otra contraseña que empezaba de diferente forma, es más, no usaba la C y la O para nada). Por lo que mi cuenta ha sido afectada, pero no creo que tengan mi contraseña. Aún así es práctico.
Me apunto a la teoría que comentan algunos sobre que no son cuentas datos de gmail sino direcciones de gmail utilizadas en sitios de terceros en los que en algunos casos coincidirá la contraseña con la de gmail y en otros no. En mi caso aparece el e-mail que suelo utilizar basicamente para registrarme en sitios en los que no confío y como contraseña aparece una que suelo utilizar también basicamente para ese tipo sitios pero no coincide con la de gmail.
#90 Seguramente tienen millones de contraseñas de alguna web. Donde también metes el correo.
Si tratas de acceder a esos correos con esas contraseñas... pues en muchas podrás entrar, en otras como la tuya no.
No es lógico poner la misma contraseña de tu correo en páginas chorras.... pero mucha gente es super feliciana y toda orgullosa te dice que usa una contraseña para todo.
#48 yo también recibí ese aviso de que alguien desde china había entrado a mi cuenta y que google lo había parado. Cambié la contraseña, pero si me la han vuelto a trolear...
Yo lo he hecho con cuentas chorras de mail que creaba para almacenar correcto temporal. Pero en las 2 cuentas primordiales que uso tengo siempre contraseñas diferentes.
En muchas webs de warez que ando uso la misma contraseña. Es cuestion de darle importancia o no.
PD: Ahora caigo. Ese comienzo de pass era de una contraseña que solía user muchas vez en webs de warez. Simple pero efectiva . Gracias al cielo que nunca la he usado en nada importante.
Mi cuenta también aparece, pero los dos primeros caracteres que me muestra, coinciden no con mi contraseña de gmail, sino con la que utilizo en los sitios en que no confío.
Apuntan que probablemente no les hayan robado las contraseñas a Gmail sino que provengan de otros sitios web, por lo que afectaría principalmente a la gente que usa la misma contraseña del correo electrónico en otros sitios.
Y en esta web se puede consultar si efectivamente tu cuenta ha sido afectada y muestra los dos primeros caracteres de la contraseña, lo que puede ayudar a saber si tienen o no la contraseña de verdad o proviene de otro sitio: isleaked.com/en.php
Si no queréis poner vuestro correo electrónico podéis usar comodines, por ejemplo: sor*@gmail.com
c/c #14
#2 no han hackeado servidores son cuentas que han ido siendo recopiladas por physing o troyanos por lo que dice la noticia
en dos pasos.
Si fuera Apple... oh wait!!!!
Apuntan que probablemente no les hayan robado las contraseñas a Gmail sino que provengan de otros sitios web, por lo que afectaría principalmente a la gente que usa la misma contraseña del correo electrónico en otros sitios.
Y en esta web se puede consultar si efectivamente tu cuenta ha sido afectada y muestra los dos primeros caracteres de la contraseña, lo que puede ayudar a saber si tienen o no la contraseña de verdad o proviene de otro sitio: isleaked.com/en.php
Si no queréis poner vuestro correo electrónico podéis usar comodines, por ejemplo: sor*@gmail.com
c/c #14
www.meneame.net/m/tecnología/search?q=Hackers+rusos+roban+más+de+mil
es.gizmodo.com/hackers-rusos-roban-mas-de-mil-millones-de-contrasenas-
Sacado de reddit. www.reddit.com/r/netsec/comments/2fz13q/5_millions_of_gmail_passwords_
No tengo muy claro lo seguro que es, pues hay algunos usuarios de reddit que desconfían. Yo me lo he bajado (porque estoy en el trabajo, en casa hubiese dudado...) y no parece tener virus ni nada, es un bloc de notas.
Edit, no había visto a #15.
Otra cosa es lo de siempre, de dónde habrá salido la información. No he preguntado pero conociendo a esta persona, sabiendo cómo es con la seguridad y viendo los dos primeros caracteres de su contraseña (que apuntaban a su nombre), huele a que era un sitio que como mucho iba a visitar tres veces en su vida.
O el sitio de porno donde guardar sus videos favoritos
cc/ #24
No necesariamente, el robo puede haberse producido en el navegador o incluso en la parte de los servidores de Google que reciben la contraseña y la comprueban (aunque no la almacenan).
Aunque todo apunta que se han robado en otros sitios web.
La cuenta mail es: ElPaswordEs1234@gmail.com
No recuerdo la contraseña.
En euros son unos 200€ pero por ser tú te lo dejo en 220€
Lo mismo se la robaron a un tercero
Yo por si acaso ya me he cambiado la contraseña y ahora es un número más
#42 #47 Si os han robado una vez no os confiéis, pueden haberlo hecho de nuevo.
Lee esto que salio en portada hace dias: www.elladodelmal.com/2014/09/robar-fotos-de-apple-icloud-de-un.html
El resumen:
<<Respecto a Apple, a mí me encantaría que mejorasen la configuración del filtro SPF, que no hubiera posibilidad de hacer Brute Forcing en ningún sitio de la web - que ya está hecho según parece - que pudiera poner una clave extra de cifrado del backup - al igual que se hace en Apple iTunes -, que el segundo factor de autenticación funcionase en Apple iCloud y a ser posible que las contraseñas caducasen y se avise mejor de todos los inicios de sesión de cuentas (ahora se puede configurar una alerta por e-mail).>>
En este caso parece que google no tiene nada que ver. Aunque ya se verá.
Pero en caso que comentáis salieron a la luz cosas que se podía considerar que Apple había hecho mal, como obligarte a subir a su iCloud todas las fotos que tomaras con tu iphone, no insistir en que las personas usaran contraseñas seguras o authenticación de 2 factores (cosa que ahora sí hace y google llevaba haciendo mucho tiempo), o que directamente no tenia 2factor Auth. Y le ha acabado explotando en la cara. Porque habia mucho material sensible en la nube protegido por medidas de mierda.
CC #51
Si alguien quiere saber si está en la lista, que me envíe su nombre de usuario (email) y contraseña (sólo enviar por privado, por motivos de seguridad) y les informo.
Tengo una cuenta que uso para el warez afectada. Gracias.
Es verdad que Apple tenía el fallo de poder ingresar contraseñas erróneas sin bloquearse. (Lo corrigieron justo el día antes del Fappening).
También es cierto que no tienen, todavía, habilitada la seguridad de dos pasos en iCloud (que está en beta desde hace tiempo).
Pero las fotos no se obtuvieron por esos fallos. Fueron ingeniería social. Precisamente, lo que se comenta en la noticia que enlazas es un man-in-the-middle de toda la vida.
Eso lo puedes hacer con cualquier servicio. Lo mismo con el phising.
Apple dio un comunicado diciendo que no se había explotado ninguna vulnerabilidad en sus servicios, como imagino hará Google con este caso.
De hecho, algunas de las fotos se comentó que venían de Dropbox. Y al menos una afectada confirmó vía Twitter que ella usaba un teléfono con Android.
Por lo tanto, dada la evidencia, no hay nada que indique que fue un fallo de Apple: la empresa lo niega, los expertos demuestran que se pueden obtener datos con simples técnicas de ingeniería social, incluso las fotos no has salido todas de iCloud, y hasta no todas fueron tomadas con iPhones.
Pero en los comentarios de esa noticia, la culpa era de Apple.
Como digo, aquí hay un doble rasero. Todo lo que sea hacer carnaza de Apple, tiene posibilidades de ir a portada. Todo lo que afecte a empresas o servicios que sean bien vistas en Menéame, se reciben con otro talante. Lo he comprobado con las noticias que hablan de las fabricas chinas: de las de Foxconn/Apple hubo mucho en portada y se puso a parir a la empresa. De las demás, envié yo unas cuantas y pasaron sin pena ni gloria.
Pero esto es una historia antigua ya en Menéame. Se sabe que ciertos temas generan rechazo, que existe un cierto odio por ciertas empresas y ciertas personas, y lamentablemente, cuando toca algo de esto, se acaba la objetividad.
Si no fuera porque el sitio tiene muchas cosas positivas, este tipo de cuestiones echarían atrás a mucha gente (yo incluido).
Pero bueno, como todo, te acostumbras a que no puedes hablar de según que temas con cierta normalidad por aquí...
Me dice que esa contraseña es la primera que uso en gmail cuando se la abrio, hace tropecientos años, la informacion que contiene puede ser bastante vieja en algunos casos
Y si tiene virus, que se joda la empresa... OLÉ!
El tema era si se había utilizado alguno de esos fallos para obtener esas fotos. Y nada indica que fuera así.
Como en este caso nada indica que la culpa sea de Google.
Lo que molesta a veces es el doble rasero. Los que saltan al cuello de Apple, aunque no haya indicios de que sea la culpable (y muchos decían que debían sancionar a la empresa!) pero cuando ocurre algo similar con otra empresa que les cae mejor, relativizan el tema...
Un poco lo que comento en #75.
Pero, en fin, esto es Menéame, y con ciertas cuestiones no creo que haya nunca demasiada objetividad (aunque siempre hay gente sensata con la que se puede discutir).
Tendrian que crear un sistema distinto. El actual lo veo casi inviable, yo no subscribo en algunos sitios por no tener otra contraseña.
La contraseña no deberia salir del navegador. El servidor manda un salt que se "suma" a la contraseña, el servidor hace lo mismo y si el resultado es el mismo entonces es correcta. En la creacion de la cuenta tambien se puede hacer lo mismo envia una salt de servidor al navegador lo "suma" y envia al servidor. El servidor guarda el salt y el resultado. No hace falta enviar la password nunca y no tiene pistas de la contraseña. Podrias usar la misma contraseña en varios sitios y no lo sabrian. Tambien tener pass estilo Web+pass y tampoco daria pistas.
Se pueden combinar los dos salt el de sesion o el servidor para tener los dos tipos de seguridad.
Tecnicamente no es dificil, porque no se hace? supongo que lo dificil es ponerse de acuerdo.
No hay forma humana de evitar estas cosas. Lo único es cambiar la contraseña cada pocos meses.
Ah, y si alguien quiere que le compruebe si su dirección ha sido hackeada que me la ponga aqui con su password que se lo compruebo
Si tratas de acceder a esos correos con esas contraseñas... pues en muchas podrás entrar, en otras como la tuya no.
No es lógico poner la misma contraseña de tu correo en páginas chorras.... pero mucha gente es super feliciana y toda orgullosa te dice que usa una contraseña para todo.
Yo lo he hecho con cuentas chorras de mail que creaba para almacenar correcto temporal. Pero en las 2 cuentas primordiales que uso tengo siempre contraseñas diferentes.
En muchas webs de warez que ando uso la misma contraseña. Es cuestion de darle importancia o no.
PD: Ahora caigo. Ese comienzo de pass era de una contraseña que solía user muchas vez en webs de warez. Simple pero efectiva . Gracias al cielo que nunca la he usado en nada importante.
Como menéame, claro.