Como seguramente ya sepais, Parece que menéame ha sufrido un hackeo
. Más o menos. Y claro, después de cada hackeo anunciado surgen los interrogantes. La administración ha publicado una entrada de blog llamada "Ataque y extracción de datos en Menéame: análisis y las medidas que hemos tomado" en la que, como su nombre indica, se analiza el ataque y se informa de las medidas tomadas. O no. Quizá la informática forense ha cambiado mucho y no me he enterado.De todas formas, para los curiosos, los menos curiosos, los preocupados, los menos preocupados, los aburridos, etc., pues he decidido crear un FAQ, que es el acrónimo de fucking annoying questions, preguntas que o son estúpidas, o ya se han respondido mil millones de veces, o nadie tiene narices a responder. Así que vamos al lío.
¿En qué ha consistido el hackeo?
Básicamente parecen haber extraído una parte de la base de datos de usuarios, ordenados por fecha de registro, y que además contiene la IP y el e-mail usado para el registro, el hash de la contraseña, el status (usuario normal, "especial", admin, blogger, desactivado, diana de strikes, etc.), el nombre real (de haber sido tan idiota de añadirlo al perfil) y los sitios personales (también de haberlos añadido, como un blog, una cuenta de Twitter o de otra red social).
¿Está la web en peligro? ¿Podrían tumbarla o modificarla de forma que sea inusable?
No, no está en peligro. De lo otro ya se encargan los autores del nuevo diseño, así que es improbable que haya alguien con ganas, tiempo y que además cobre por ello que les haga su trabajo.
Pero, ¿cómo han conseguido hackear la base de datos de usuarios?
Existen varias teorías. La más plausible hasta el momento es que algún admin, durante un período de estupor resaquil, haya enviado por accidente sus credenciales por Tinder, y se sabe que el 95% de los perfiles de mujer en Tinder pertenecen en realidad a informátitrolls. Las otras opciones son un MITM (pobre seguridad), un SQL injection (pobre código), un web scraper (pobre protección anti-bots) o un "paga el server, último aviso" de AWS (pobre del que quiera hacer negocio con Menéame). Quizá incluso una combinación de varias, pues la fecha de realización del ataque coincide aproximadamente con la caída masiva que sufrió Menéame hace unas semanas por, simplificando, "exceso de peticiones al servidor", que también coincidió con la ingesta masiva de licor café en unas fiestas patronales en tierras norteñas.
¿Estoy yo en peligro? ¿Qué pueden hacer con mis datos?
Externamente a Menéame poco pueden hacer, salvo darte por culo con spam al correo con el que te hayas registrado, o buscar si has usado ese mismo correo para registrarte en otros sitios. Alguien con mala leche podría encontrar tu Facebook y hacer públicos tus comentarios racistas en Menéame. Y, en el caso de que usaras la misma contraseña patética tanto para Menéame como para tu correo, acceder a dicho correo y todo lo que tengas registrado en él (siempre y cuando averigüen tu contraseña en Menéame).
Internamente, con esos datos pueden, más o menos, localizar tus clones, tu status como admin o paria, o mandarte unos mariachis a la dirección IP, lo cual con tanto puto reggaetón hasta sería de agradecer.
¿Qué medidas han tomado para solucionarlo?
Todo apunta a que han llamado al Bufete Almeida y que han reparado la "fuga" a la manera tradicional:
¿Podrían hacer públicas las fotopollas que envío por privado?
¿Y quién te dice a ti que no son ya públicas pero todavía no te has dado cuenta? Hay algo que no cuadra en las cuentas de Menéame, Los cinco motivos por los que Menéame se está yendo al garete, y puede que por ahí venga la financiación extra.
¿Qué tengo que hacer, pues?
Cambiar la contraseña de Menéame nunca viene mal. De hecho, no viene mal cambiarla en todos los sitios de vez en cuando. El motivo es el mismo que cuando le cambias el pin o el patrón de desbloqueo al móvil para que tu pareja no pueda ver las fotopollas/fototetas que envías por Menéame (las de WhatsApp seguro que ya las ha visto).
¿Tiene algo que ver este hackeo con los sabojates al Nord Stream?
¿Y que la CIA ande preocupada por los usuarios que acusan a EE.UU. de ello? ¿Quizá una forma de detectar putin-bots? Para qué, si ya tienen pinchado Twitter...
El otro día entrevistaron en el Pregúntame a una periodista que sabía de hackeos...
También entrevistaron a un estratega de marcas y contenido y mira la publicidad que tiene este sitio.
¿Cuál crees que será el siguiente objetivo?
No lo sé, pero estaría cachondo que el generador de miniaturas para las noticias extrayese las fotos del archivo de fotopollas/fototetas. Nos echaríamos unas risas tratando de identificar cuál pertenece a cual usuario, salvo las deXtrem3, que ya las conocemos casi todos.
Comentarios
Meneame debe notificar toda brecha de datos personales a la Autoridad de Control y por supuesto notificar a cada uno de los afectados. Si no, está incumpliendo la ley.
#5 ¡¡Indemnización!! Un para todos los registrados antes de 2012
#80 Indemnización no, pero se exponen a una multa.
#80 no necesito ninguna indemnización. Pero exijo responsabilidades. El daño por vender nuestros datos personales no es ninguna tontería. Soy usuario y necesito saber si estoy afectado sin tener que comprar esa base de datos en el mercado negro. Todavía estoy esperando esa comunicación pese a que no han cumplido el plazo previsto por la ley
#92 100% de acuerdo
#5 Es cierto. Y de momento la comunicación individual a cada usuario no se ha producido.
https://www.prodat.es/blog/cuando-hay-que-comunicar-una-brecha-de-seguridad-la-aepd-sanciona-a-una-entidad-por-no-haber-comunicado-un-hackeo/
Aprovecho el artículo para decir que si os habéis logueado en los últimos 9 años, vuestra contraseña está hasheada en SHA-256, que es mejor que MD5 (que es como si no llevara nada llevara nada llevara nada):
meneame.net
Por ahora aguantará secreta, especialmente si tiene símbolos, mayúsculas, minúsculas y no está en un diccionario. Pero será cuestión de tiempo según aumenta la potencia de cálculo de las GPUs, así que mejor id migrando a un gestor de contraseñas para tenerlas todas diferentes y no reutilizar.
#1 Menuda ñapa.
No habría sido mejor correr un script con el update que meterlo ahí en el código?
#10 Y como corres el script sin conocer la clave? Cuando la tienes hasheada no la conoces, tienes que esperar a que el usuario se loguee, validar el hash y entonces con ese valor valido hashearlo con SHA1
#17 Ostias. Dame collejas por favor.
siete años sin tocar SQL.
#17 #10
Fácil, usas un formato que indique que tipo de hash es (cosa que hacen si miras la captura del leak) pillas el MD5 actual, y actualizas todos los usuarios tal que SHA256(MD5 de la DB). Luego en codigo lo que haces es que si el usuario al hacer login tiene en DB ese tipo personalizado compruebas la pass que te manda como SHA256(MD5(pw que el user manda)), y ya si es correcta tiras el update por SHA256(pw).
PD: A estas alturas un SHA256 o cualquier SHA de la familia 2 a pelo no es buena opción, ni con salt, mejor usar KDFs (por ejemplo PBKDF2).
#32 Qué bien te aprendiste la idea que tuve para proteger los MD5 de las cuentas antiguas.
PD: Tengo que investigar eso de KDF.
#55 Estrategias similares se han hecho con relativa frecuencia en proyectos que conozco, por eso te comenté que era algo factible lo que comentabas.
#1 Y que ocurre si hay una fuga en un gestor de contraseñas? A mi siempre me ha parecido de lo mas inseguro.
#22 Pues que estás jodido.
Pero también lo estás si te rompen la contraseña de menéame y la reutilizas en otros sitios o recurres a reglas memotecnicas.
Que te revienten un gestor de contraseñas es muy poco probable pero tiene un gran impacto. Pero qué te revienten la contraseña en uno de los cien mil sitios en los que estás registrado es altamente probable y (sí cometes los errores arriba indicados) también tiene un gran impacto.
#31 No se, yo soy de la opinion de usar contraseñas diferentes para cosas importantes y regla mnemotecnicas para cosas no importantes, en cualquier caso, me cuesta fiarme de una unica compañia para guardar todas mis contraseñas.
#22 Gestor de contraseñas local, no online.
#33 Podrías recomendar alguno en concreto? o poner un link con un tutorial para montarse un gestor de contraseñas. Si algún día me conecto desde un equipo remoto, significa esto que no tendré acceso a mis contraseñas?
#42 Hay varias soluciones para varias necesidades.
- La más sencilla si es para ti solo y no quieres pagar es usar KeePassXC [1]. Las contraseñas se guardan a un archivo local (encriptado con una contraseña maestra que solo conoces tú). Puedes sincronizar ese archivo a otros ordenadores con calquier programa tipo dropbox y por tanto abrirlo desde cualquier otro ordenador.
- Si no te importa pagar (10$/año), yo recomendaría BitWarden [2]. Los clientes (tienen para prácticamente todos los operativos y navegadores) son open source y el servidor nunca ve las contraseñas sin encriptar. Tiene la ventaja de poder compartir contraseñas con otros usuarios.
- Finalmente, si sabes suficiente y te apetece liarte, puedes utilizar los clientes BitWarden con una instalación self-hosted de servidor llamado VaultWarden [3]. A parte de las ventajas normales de Bitwarden, con esto tienes usuarios ilimitados sin pagar (es decir, le puedes configurar el gestor de contraseñas a tu madre también con coste 0).
[1] https://keepassxc.org/
[2] https://bitwarden.com/pricing/
[3] https://github.com/dani-garcia/vaultwarden
#51 Hombre. Por (10$/año) tiene pinta de merecer más la pena la opción de BitWarden, sobre todo si no tengo que andar con el fichero de un lado al otro.
También vi LastPass, pero supongo que es una solución menos segura.
Quería preguntar... Qué diferencia hay entre esto y tener simplemente tus contraseñas guardadas en Google Chrome (en tu usuario logado)?
Muchas gracias por la info
#56 LasPass tuvo una historia un poco oscura recientemente (robaron contraseñas de gente y LastPass negaba todo y tal). Sus clientes no son open source que yo sepa y no pasan las mismas auditorías que Bitwarden o no las hacen públicas.
> Qué diferencia hay entre esto y tener simplemente tus contraseñas guardadas en Google Chrome (en tu usuario logado)?
La mayor desventaja es que si mañana a google le da por cerrarte la cuenta o dejarte sin acceso por el motivo que sea (no pasa mucho, pero pasa) date por jodido. No tienes ningún recurso con ellos a nivel de usuario aunque no hayas hecho nada malo. Como otro punto importante, desconozco si google puede leer tus contraseñas (sospecho que sí pero no puedo asegurarlo).
También está el tema que Bitwarden te permite compartir algunas contraseñas con otros usuarios y tiene otras cosillas como que puedes guardar notas seguras (creo que el gestor de google no lo permite) o mandar archivos protegidos con contraseña que incluso puedes limitar el número de veces que se pueden descargar y así.
Finalmente, Bitwarden (como la mayoría de otros gestores tipo LastPass) tienen plugins para otros navegadores y también aplicaciones nativas (puedes tener el gestor de contraseñas como aplicación independiente).
Todas estas cosas pueden ser interesantes para tí o no. En cualquier caso, si estás leyendo esto y te planteas entre guardar las contraseñas en el gestor de google o usar la misma en todas las webs donde se registra... usa google por favor
#62 Sin embargo, confías en los servidores que hay detrás de las opciones que propone #51?
#66 Mi opción preferida sería la 1 o la 3, por supuesto.
La opción 2 supone que los servicios de alojamiento de bases de datos cifradas ponen como una de sus máximas prioridades el mantener su prestigio. ¿Te has fijado que no ha recomendo LastPass? Hace años tuvieron un problema que hizo perder la confianza de muchos usuarios, si no recuerdo mal.
#51 Y la opción gratuita de Bitwarden en que se diferencia?
O recomiendas pagar porque no te fias de que gratis no hagan nada con las pass?
#78 La opción gratuita de Bitwarden no la he recomendado porque no me fío a largo plazo de los servicios gratiuitos.
Eso no significa que crea que Bitwarden vaya a robarte las contraseñas (deberían cambiar muy mucho porque ahora mismo simplemente no pueden verlas). Significa que sí me creería que en un tiempo digan que o pagas o fuera, que ya no pueden soportar el servicio gratuito y entonces vuelves al quebradero de cabeza de elegir.
Es por eso que hago el planteo ya de antemano: si no quieres pagar mejor acostúmbrate a keepass o haz self-hosting (estas opciones seguro que no desaparecen) y si no te importa pagar los 10$ pues págalos ya y así ayudas a que el servicio siga vivo mucho tiempo. Obviamente que cada uno haga lo que quiera, pero este es el razonamiento de mis recomendaciones
#42 Yo utilizo el KeePass, tutoriales habrá los que quieras por internet.
Si tienes un gestor en local puedes acceder desde ese equipo, hay gestores online, pero el riesgo de que se vea comprometido es mayor.
#33 Pero eso me impide acceder desde mi pc, mi tablet, mi movil, mi ordenador del trabajo... No se, no parece muy comodo. Al final voy a tener que llevar una agenda en el bolsillo con las pass como hace mi padre
#58 Qué quieres, seguridad o comodidad? Puedes instalar el gestor en el móvil que lo normal es que lo lleves siempre.
#73 Quiero una buena combinacion de ambas y no depender de terceros
#76 Y que me toque la lotería.
#1 PHP, no me extraña que hayan hackeado meneame...
#45 Ya ha venido el primer agorero en echarle la culpa a PHP. Todo es susceptible de ser hackeado, la mayoría de aplicaciones web dinámicas del mundo funcionan en PHP así que la superficie de ataque es muy grande.
#57 Era coña eh. Yo no me meto con esos masoquistas que les gusta el dolor, también son personas.
#1 Y porque no utilizar el propio gestor de contraseñas de Chrome?
#47 No he mencionado ninguno en concreto. Pero ya que lo mencionas: A Google, que ya conoce todo sobre ti, sólo le faltaba saber tus contraseñas para que puedan poner toda tu información a disposición de cierto gobierno.
#1 Pregunta inocente por desconocimiento. El hackeo de las contraseñas implica saltarse el límite de intentos para obtener acceso ¿no? porque la fuerza bruta tiene que estar chocando contra algo que le diga "esta sí" "esta no". Significa eso que el hacker se baja una versión offline de la web en la que prueban a loguearse con fuerza bruta ¿no? De lo contrario hacerlo sobre la web online provocaría una especie de DDos.
#68 Cuando obtienes acceso a la base de datos, el ataque de las contraseñas se puede hacer offline: pruebas las contraseñas contra los hashes que has obtenido, no tienes que usar la web para nada. Un ataque online sería rellenar el formulario de login con datos de prueba, pero dejas muchas pistas.
Me hace gracia.
Yo hace años, cuando era un adolescente hackee meneame a través de un SQL injection. Así conocí a la gente de por aquí. Por aquel entonces las contraseñas no estaban cifradas, y recuerdo todavía la contraseña que tenía gallir.
Yo estaba siendo investigado en un asunto de hacking, y la policia contactó con meneame para que se sumaran a la causa contra mi. No lo hicieron, se portaron de puta madre y gallir me ayudó a "madurar" conforme dejaba atrás la adolescencia.
Tiempo después les ayudé con la seguridad, enviándoles avisos de vez en cuando.
Mucha gente leerá este comentario y pensará que es todo invent. Otros ya sabrán quien soy, con todas las referencias que he dado, pero me hacía gracia comentarlo en estos momentos tan especiales.
Yo, en lo personal, no estoy nada sorprendido de que hayan hackeado la página. Es un coladero de bugs de seguridad desde el primer día. Meneame se construyó sobre un codebase muy artesanal, en una época donde la arquitectura del software aún estaba muy verde. Y eso se paga
#9 Invent
#9 Si eres jocanor ya sabes que distes mucho la lata, pero de los errores se aprende.
Yo te seguiré odiando por atacarme con DDOS.
#54
Si eres jocanor ya sabes que distes mucho la lata, pero de los errores se aprende.
Yo considero que aprendí y conocí gente. Si hice algo que pudo molestarte, lo siento.
Yo te seguiré odiando por atacarme con DDOS.
Yo no te odio. Si un día nos vemos nos podemos tomar una cerveza juntos, y si quieres invito yo.
#98 Que va fueron tiempos e historias que contar con los amiguetes.
Además de todo se aprende y se mejora.
#9 hola
#90 Es siempre un placer encontrarme contigo, un abrazo
#99 la última vez fue muy interesante y me dice que cada día sabes más de todo, y eso es mucho para una mente como la tuya
¿Está la web en peligro? ¿Podrían tumbarla o modificarla de forma que sea inusable?
No, de hecho los hackers, en un ataque de lástima, podrían hasta arreglar el diseño nuevo.
jajaja, me he reído un rato, pero falta lo más importante, se ha avisado a los usuarios hackeados?
#3 Sería un detalle, si.
#3 hoy he tenido que cambiar la contraseña en la otra cuenta. La cual he procedido a abandonar, por cierto. Esta es más nueva, así que ¡hasta el siguiente hackeo!
#11 Es un dato personal, eso no significa que tenga que estar encriptado, no tendría sentido. Es como nombre y apellidos, si lo encriptas para que lo guardas?
#20 Pensé que si estaba encriptado sólo podría leerse si tienes la clave de desincriptación.
#34 No tiene sentido encriptar nada si tiene clave de desencriptado. Imagina que acceden a meneame y se llevan la base de datos, evidentemente se llevarían también la clave de desencriptado.
#89 ¿entonces para qué encriptar las claves? ¿no es el mismo caso?
#95 Las claves se encriptan sin posibilidad de desencriptado, esa es la gracia
#97 ahhh, claro! gracias!
#37 Mi vecino se murió, no se que ha podido pasar, siempre había estado vivo
#48 #44 sigo en el curro. Sigue funcionando. Fué una única vez.
#82 Milagro!! Ha resucitado!!
#0 Yo tenía entendido que FAQ significaba Frequently Asked Questions.
#6 y muchas veces las "preguntas frecuentes" son autogeneradas por el que las responde, no por gente que realmente las pregunta
Espero que a quien se esta lucrando vendiendo cuentas antiguas para el astroturfing le den tiron de orejas por no guardar la base de datos de usuarios viejos mejor protegida.
#13 tenía por casualidad otro ordenador con la sesión activa y cuando he ido a meneame me ha pedido cambiar la contraseña y ha funcionado afortunadamente. ¡Gracias!
#26 Desde mi punto de vista, no se justifica. ¿Por qué? Porque hay medios técnicos muy simples para resolverlo sin necesidad de almacenar/tratar ese dato personal. Por ejemplo, se puede almacenar el correo electrónico hasheado/anonimizado, de forma que nadie tiene acceso al dato personal y se siguen pudiendo detectar multicuentas, clones, etc. La GDPR insiste mucho en minimizar los datos que se tratan. Yo creo que es un abuso.
¿SHA256? ¿En serio?
#24 ¿qué problema hay?
#77 Las contraseñas no se hashean a pelo con algoritmos genéricos (cuyo objetivo es verificar integridad y nada más), y menos sin sal. De locos. PBKDF2, scrypt o bcrypt son mejores soluciones y alguna existe desde antes que menéame.
#84 ¿Por qué no se hashean a pelo?¿De locos? ¿Por qué son mejores soluciones?
Lo digo por entender.
Gracias por las respuestas.
#85 Porque SHA256 está hecho, entre otras cosas, para ser rápido. Si se filtran las contraseñas, eso es lo que quiere el atacante, que se puedan crackear rápido.
Los algoritmos que menciono están hechos a propósito para ser lentos e dificultar ataques de fuerza bruta, tablas arcoiris y demás.
Tu ordenador sospecho puede hacer decenas de millones de operaciones SHA256 por segundo, los que menciono son adaptables, pero en general se intenta que no pasen de unos pocos centenares de operaciones por segundo.
Así que si tu contraseña con SHA256 se puede crackear en un día, pues con bcrypt (por ejemplo) llevaría 100000 días, así, simplificando mucho.
Pues a mí no me han jakeado nada.
Antes votaba a Podemos, pero ahora voto a VOX.
Iros un poco a la mierda.
Ya bastante tenía con que mangonearais mi opinión manipulando constantemente el karma a conveniencia de los opacos intereses de unos admins que nadie conoce y ahora me entero de que mis datos se están vendiendo en la deep web porque la seguridad de esta web es un puto asco.
Ya cierro yo la puerta al salir no os preocupéis
Zafarrancho de combate!!!!
Arríen los contenedores, carguen el cortafuegos y amarren bien los logs!!
Esos alfeñiques no conseguirán hundirnos!!!
-Aaaaargh! (el capitán escupe una mezcla de tabaco de mascar, ron y saliva)
"diana de strikes"
#40 eso venía a poner yo, me ha hecho gracia
¡Fucking idiot tú! Te ha quedado muy bonito llamar idiota a algunos usuarios.
Se sabe si las fotoojetes también se han filtrado? Es para un amigo....
#49 No, solo fotopollas de mujeres con pene.
Pero estaría bien ver la fotojete de Menéame, que lo han dejado como un bebedero de patos, mientras el admin creia que no pasaba nada de lo que preocuparse.
Cambio de contraseña y a fregar.
Un saludo.
Ayer, dias después del "hackeo", meneame me pidió que cambiara mi clave, ID 14K (si old school), pero me dejó poner la misma
#60 Estresar un sistema es una forma de provocar errores. Las consolas se piratean así: Se meten glitches en la CPU hasta que haces saltar un error antes de que se bloqueen las zonas seguras.
#67 ok, pero algun ejemplo de stack mas o menos actual para servir web que falle de esa manera?? es que me sorprende mucho.
Por el precio del dump y el hecho de que la página esté hecha en php, yo diría que es un ataque automático explotando una vuln conocida. es decir, un script automático que tiran contra miles de sitios a ver si en alguno tienen suerte
No parece que sea un ataque específico contra menéame
#0 Otra más para el FAQ: ¿Es legal guardar direcciones IP en la base de datos "a pelo"?
#2 Sí, por qué no, todos los CMS lo hacen. Y los operadores. Tu IP está por todas partes logueada.
#8 Ah, vale. Pensaba que se consideraba dato personal y que tenía que estar protegida por la Ley de Protección de Datos. Gracias, Emu!
#11 Es un dato personal. Y está protegida por la GDPR. Quien quiera tratarla (y este tratamiento incluye logarla, guardarla en una BD) necesita una base legitimadora para hacerlo. Esta base legítimadora en ocasiones no necesita consentimiento del usuario; por ejemplo cuando hay obligación legal (donde entra el caso de las llamadas telefónicas que guarda una operadora, o las facturas) o cuando hay un interés legítimo (un coladero de la ley). En el caso de meneame, está cogido con pinzas, para mi gusto (no soy juez) es sancionable.
#14 Hay un interese legitimo no? te permite detectar multicuentas, clones, etc.
#2 Lo de "a pelo" se puede debatir, hay estándares regulados para hacerlo.
Lo de legal no se puede debatir, es obligatorio.
#37 pues ya no se habrán enterado del hackeo y lo habrán metido en la lista de paginas no seguras
Oooh, mirar cómo lloro... JUSTICIA, llamo yo eso.
¿Podrías corregir ese "extrayese"? Se me ha cristalizado el colirio al leerlo y tengo los globos oculares en carne viva.
Muchas gracias
qué cojones significa "EL SERVIDOR TIENE APLICADO UN BAN" ?`??? me acaba de salir
#28 ¿estás entrando desde el trabajo?
#36 si, pero ha funcioinado siemrpe
#60 Normalmente a un ataque DoS se lo conoce por tirar abajo los servicios pero esta acción tambien habilita al atacante a crear una cortina de humo para inflitrarse o forzar el reinicio de los sistemas y aprovechar ese instante para socavar información y/o conocer los recursos compartidos a los que están conectados (bases de datos).
Lo único que está claro es que los admin deberían de hacer una audit para esclarecer sus fallos de seguridad y publicar un report explicando qué ha pasado, cómo pudo ocurrir y los pasos a mejorar el stack.
#91 A mi es que como posible explicación me parece un poco pillada por los pelos. Si metemos 'ataque DoS' pues antes metemos que le han robado el portatil a un dev, que han dejado una copia del repo por ahí, o que un backup de pruebas lo han dejado accesible.
Los ataques de DoS son muy accesibles y fáciles y baratos, me extraña que eso fácilmente sea suficiente para abrir una puerta trasera en un sitio como menéame.
Pero hablo desde el desconocimiento y por eso pregunto, me gustaría conocer ejemplos en los que haya pasado con servicios web, con algun post-mortem más o menos técnico.
#93 Those are two of the key takeaways from a recent Neustar and Harris Interactive report based on a global, independent survey of 1,010 directors, managers, CISOs, CSOs, CTOs, and other C-suite executives. 76% reported that they had experienced multiple DDoS attacks. Even those companies that were attacked only once, a whopping 92% of them reported theft of intellectual property, customer data and/or financial assets and resources.
Igual este artículo te lo explica mejor -> https://www.corero.com/blog/theft-and-ddos-attacks-go-hand-in-hand/
Al inundar con peticiones los servidores, los primeros en sufrir los ataques son los firewalls y load balancers. Una vez los firewalls fallan, se puede atacar puertos específicos que estaban protegidos.
#96 In most cases hackers are looking to steal something, so they use a small DDoS attack as a smokescreen to mask their more nefarious subterfuge
Ok entonces el ataque de DoS es para despistar, pero no quiere decir que con un ataque así te roben la información, lo harán por otros medios. Si tiras abajo un firewall o un load balancer por un ataque no es que queden los puertos abiertos, es que se queda inaccesible la web. Que me dices 'pues el admin quita el firewall de la ecuacion para reestablecer el servicio y por eso luego roban datos', bueno pues es que ese admin es temerario.
No quiero buscarle 3 pies al gato, es que simplemente soy desarrollador web y me gusta estar informado. Gente como yo somos los que por falta de conocimiento dejamos puertas abiertas .
En todo caso yo no desarrollaría o usaria un firewall que dejara pasar trafico de forma selectiva a no ser que haya mucho trafico y entonces haga lo que viene siendo un fail-open,es absurdo.
#13 lo acabo de hacer (recuperando la contraseña) y me sigue identificando como este otro usuario.
meneame lleva hackeado por la ultraizquierda desde el principio, de hecho es su cámara de eco
@admin ¿dónde está mi cuentaurannio? entro con mi cuenta de twitter y ahora tengo esta otra.
#12 Identifícate con usuario y contraseña, en lugar de con Twitter.
No sé por qué dices que puede haber sido haciendo scrapping, si tienen los hashes de las contraseñas está claro que accedieron a la base de datos directamente. Y lo de 'paga el server' tampoco lo entiendo...
#25 un ataque bastante común es hacer un denial of service DoS y cuando los servicios empiezan a fallar se abren puertas traseras.
Si han entrado hasta la cocina (base de datos) no sería muy raro que no tengan la palabra clave para generar el hash. Seguramente lo tengan hardcoded en el código.
#27 Algun ejemplo de como un ataque de DoS puede acabar provocando que se pueda acceder a base de datos? es que no se me ocurre ahora mismo.
Me imagino un stack de AMP antiguo que si por lo que sea los procesos de PHP no den a basto, al apache le de por renderizar el código PHP en claro, y que la contraseña de la bbdd esté en uno de esos archivos y que la base de datos tenga el puerto públicamente accesible, pero son muchos 'sies' de estár haciendo las cosas mal y realmente no me consta que apache escupa php en claro si no es realmente por que esté mal configurado.
Madre mía, que desastre.
Tambien te digo que hay que ser muy tonto para dar tus datos reales a Meneame
#29 Realmente al principio no era tan tonto, pues era una comunidad pequeña llena de bloggers y profesionales del ramo de las telecomunicaciones y la informática que iban de cara, sin necesidad de anonimato (Menéame estaba más próximo a parecerse a Linkedin que a Forocoches).
Luego la temática y los contenidos cambiaron con el tiempo, y se hizo más necesario el anonimato para poder comentar y participar.
#75 Me da igual, es mi apellido de soltera.
#0 Como???
, el nombre real (de haber sido tan idiota de añadirlo al perfil)
Insinúas que no te llamas Carademalo Martinez?
Que decepción....