Portada
mis comunidades
otras secciones
Hace 1 año | Por patchgirl
Publicado hace 1 año por patchgirl
Después del ataque y el robo de datos que hemos sufrido los últimos días, vamos a ir respondiendo a las preguntas que tengáis (de manera ordenada y explicando solo las cosas que sepamos y/o lo que no esté bajo investigación).
#4:
¿Habeis comunicado a todos los usuarios afectados a través de su email?
¿Los usuarios afectados son los que su ID está dentro de los 250k primeros?
¿Cómo vais a compensar a los afectados? ¿Con una cuenta de Meneame Premium?
¿Podeis explicar técnicamente como ha sido el ataque?
¿Qué datos exactamente han sido robados?
¿Es cierto que los rancios nos hemos librado del robo?
¿Los usuarios afectados son los que su ID está dentro de los 250k primeros?
¿Cómo vais a compensar a los afectados? ¿Con una cuenta de Meneame Premium?
¿Podeis explicar técnicamente como ha sido el ataque?
¿Qué datos exactamente han sido robados?
¿Es cierto que los rancios nos hemos librado del robo?
#21:
#0 Viendo que hay usuarios a los que no les importa rascarse el bolsillo para conocer los emails y claves de los demás, y a nadie parece importarle, aunque lo reconozcan en portada:
¿Qué hay en el famoso volcado de datos de meneame?
¿Os habéis planteado vendérselos directamente y os ahorráis intermediarios?
¿Qué hay en el famoso volcado de datos de meneame?
¿Os habéis planteado vendérselos directamente y os ahorráis intermediarios?
#37:
¿Por qué ya no es público el código fuente? ¿Qué tiene tan especial que no puedan ver y revisar los mortales?
#2:
Es necesario tener en abierto nuestras IPs e emails en la BD?
Cuantas veces a la semana usas ese gif en tus chats de trabajo?
Cuantas horas extras sin pagar te has comido por este marron?
Cuantas veces a la semana usas ese gif en tus chats de trabajo?
Cuantas horas extras sin pagar te has comido por este marron?
#22:
Hola #0. En la nota del blog, comentásteis que las contraseñas almacenadas están hasheadas con MD5 y SHA256 pero no indicáis si usais "salt" o si el nº de iteraciones de cifrado es superior a 1. ¿Podríais dar más datos acerca de esto? ¿Usais simplemente MD5(pass), SHA256(pass), MD5(SHA256(pass)) o algo más robusto del tipo PBKDF2? Es por descartar que los hashes funcionen directamente en crackstation o sitios similares con rainbow tables "corrientes"
#53:
Como me parece que nadie lo dice (no lo he visto) lo digo yo.
¿Por qué tenemos que esperar al viernes y tratarnos un video? ¿No podéis responder y punto?
A mi personalmente me parece una chorrada. Gallir guardaba las contraseñas en texto plano. Y la información que se puede sacar de aquí es poca. Probablemente palmen los clones y nos los usuarios de verdad.
Pero ya que os ponéis ¿por qué tenemos que aguantar una espera y un formato insufrible?
¿Por qué tenemos que esperar al viernes y tratarnos un video? ¿No podéis responder y punto?
A mi personalmente me parece una chorrada. Gallir guardaba las contraseñas en texto plano. Y la información que se puede sacar de aquí es poca. Probablemente palmen los clones y nos los usuarios de verdad.
Pero ya que os ponéis ¿por qué tenemos que aguantar una espera y un formato insufrible?
#35:
¿Habéis comunicado la filtración a la AEPD como obliga la Ley? Gracias.
#11:
¿Cuándo vais a poner mas emojis? Así como por poneros un ejemplo, el emoji pelirrojo que se me prometió
#prayforamperobonus
#prayforamperobonus
comentarios. O crea tu cuenta
Comentarios
#0 La pregunta de rigor: la tortilla, ¿con cebolla o sin cebolla?
Es necesario tener en abierto nuestras IPs e emails en la BD?
Cuantas veces a la semana usas ese gif en tus chats de trabajo?
Cuantas horas extras sin pagar te has comido por este marron?
Eres el becario? Menéame busca becario: aquí el punto de vista de un usuario de la web desde hace 13 años
¿Habeis comunicado a todos los usuarios afectados a través de su email?
¿Los usuarios afectados son los que su ID está dentro de los 250k primeros?
¿Cómo vais a compensar a los afectados? ¿Con una cuenta de Meneame Premium?
¿Podeis explicar técnicamente como ha sido el ataque?
¿Qué datos exactamente han sido robados?
¿Es cierto que los rancios nos hemos librado del robo?
¿Han accedido a mis datos? Es que una rusa que está muy buena me está escribiendo y no se si es una estafa o es que he ligado.
Hola, boinas.
- ¿Salgo guapo en la tabla?
- ¿Se ha filtrado mi tarjeta de crédito que no os he dado?
- ¿Es delito comprar o compartir esa tabla?
- Marcos, ¿Por qué no me amigas?
#5 Dale una oportunidad al amor, yo estoy segura de que has ligado. 😍
¿Creéis que si hubiera habido un departamento informático con perspectiva de género esto se pudiera haber evitado?
¿Son ciertos los rumores que apuntan a que ninguno de los últimos clones registrados, que pululan por aquí publicitando la guerra, se ha visto afectado?
#1 ¿El robo de datos con o sin patatas?
¿Cuándo vais a poner mas emojis? Así como por poneros un ejemplo, el emoji pelirrojo que se me prometió
#prayforamperobonus
Puedo mudarme ya al nuevo diseño o sigue petando?
Que version de meneame usan ellos?
Hay tema oscuro en el nuevo diseño? Si no lo hay, cuando lo habrá?
#0 ¿Qué parte externalizada en la gestión, alojamiento y mantenimiento de los servidores?
¿Es cierto que gracias a la nueva imagen y por cumplir con la paridad de sexo en MNM habéis contratado a una nueva becaria?
Si es verdad que os pagan por mantener la web y aguantar tanto troll, ¿Los cacahuetes llevan cáscara o vienen pelados?
Huele a SQL injection. Sanitisais las entradas?
'); SELECT password from users; - -
#11 Síii, emojis, emojis.
No los cambiáis de hace décadas.
No he recibido ninguna notificación de Menéame y me gustaría que me dijeran si han accedido a mis datos, que datos se han filtrado y qué debo hacer en caso de que así sea.
Entonces al final qué, ¿me paso o no a Mediatize?
¿de esos 660000 usuarios registrados cuántos son bots? una cifra concreta.
¿cuantas multicuentas? una cifra concreta.
¿que postean los bots? ¿están controlados por una IA?
#0 Viendo que hay usuarios a los que no les importa rascarse el bolsillo para conocer los emails y claves de los demás, y a nadie parece importarle, aunque lo reconozcan en portada:
¿Qué hay en el famoso volcado de datos de meneame?
¿Os habéis planteado vendérselos directamente y os ahorráis intermediarios?
Hola #0. En la nota del blog, comentásteis que las contraseñas almacenadas están hasheadas con MD5 y SHA256 pero no indicáis si usais "salt" o si el nº de iteraciones de cifrado es superior a 1. ¿Podríais dar más datos acerca de esto? ¿Usais simplemente MD5(pass), SHA256(pass), MD5(SHA256(pass)) o algo más robusto del tipo PBKDF2? Es por descartar que los hashes funcionen directamente en crackstation o sitios similares con rainbow tables "corrientes"
#21 Si hay gente que haya pagado por la lista ( y la forma de conseguir esos datos, que sepamos, es pagar 200 euros) está cometiendo un delito de receptacion.
Y si se niega a decir su procedencia, de encubrimiento.
Si no me falla la memoria hay alguien que ha hecho las dos cosas.
#21 @Ripio
¿Cuándo vais a cumplir la LGPL?
#6 Ya te contesto yo: es delito comprar material robado sabiendo que ha sido robado.
#4 mi ID está entre los afectados, me salió una ventana para cambiar la password, pero de notificación por email nada
Como la lias Marcos.
¿Entonces exactamente cuál es la vulnerabilidad?¿Cómo se detecto?
#27 a mi tb, y ya la había cambiado dos días antes.
ya te lo digo yo, han accedido a tus datos, Kevin.
#27 A mi también me salió de cambiar la contraseña, pero di por hecho que eso era para todo el mundo, al menos no decía nada de que yo hubiera sido afectado concretamente. Mi ID es más de 300k y suponía que no, pero ahora ya no se.
#0 ¿Ha sido esta la notificación de los afectados?
#5 esa lo que quiere es casarse contigo, hacerte ruso y mandarte a Ucrania. Ojito con las recruiters.
Dentro de los datos robados ¿hay usuarios 'borrados'?
Es decir, los que se quedan como --123456--
#1 ha habido un filtrado del gusto de la tortillas de los meneantes? Se sabe si alguien pagará algo por ello?
¿Habéis comunicado la filtración a la AEPD como obliga la Ley? Gracias.
#1 Habeis probado la McRib ?
¿Por qué ya no es público el código fuente? ¿Qué tiene tan especial que no puedan ver y revisar los mortales?
#33 sí
#21 no deberías dar cosas por supuestas y menos sin citar. Es lo mínimo.
#31 yo cambié clave y email en cuanto me enteré.
El sistema de Yahoo para crear cuentas de correo desechables es bastante bueno (si tienes la costumbre de usarlo con todo)
#26 Es delito comprar material robado sin saber que es robado. Se llama receptación.
#26 como cuando compras discos a los manteros?
#38 ¿y tienen los mails, por ejemplo, de dichos usuarios?
#34 hombre, espero que los sincebollistas lo paguen caro...
#34 si yo fuera concebollista estaría bastante jodido de que se filtrara que no sé cocinar y necesito echarle cebolla a la tortilla para que quede jugosa
#20 y ¿Se va a aprovechar para hacer limpieza de usuarios inactivos?
¿Queda información de los usuarios desactivados en la base de datos? En ese caso ¿Que información ha quedado expuesta de esos usuarios desactivados ?
¿ No hay alguna norma que obligue a borrar totalmente la información de un usuario que así lo quiera?
#16
#42 esos discos no son robados, los ha pirateado el mantero en su casa
Me encanta vuestro programa, mi abuela lo ve todas las semanas.(Por escribir algo)
Me habéis hecho cambiar de contraseña por primera vez en 15 años. ¿Os parece bonito?
#17 joder, si aún sigue el de profesor...
#48 tampoco han robado la base de datos, aún la siguen teniendo en el servidor de Menéame
Como me parece que nadie lo dice (no lo he visto) lo digo yo.
¿Por qué tenemos que esperar al viernes y tratarnos un video? ¿No podéis responder y punto?
A mi personalmente me parece una chorrada. Gallir guardaba las contraseñas en texto plano. Y la información que se puede sacar de aquí es poca. Probablemente palmen los clones y nos los usuarios de verdad.
Pero ya que os ponéis ¿por qué tenemos que aguantar una espera y un formato insufrible?
#52 mu bien
#45 es increible Manolitro, ¿esto también?
Te ha tocado todo lo malo del mundo.
Lo más grave a mi entender es que se ha revelado la identidad de muchos que comentábamos aquí con la idea de que esto es más anónimo que otras redes sociales.
Mi confianza en Menéame se ha visto totalmente traicionada. Quizá lo justo sería poder borrar comentarios antiguos de los usuarios afectados para que quien conozca la identidad no acceda a su contenido. No sé si me explico...
#37 Porque con la de programadares que hay aquí pondrían a parir el código en cero coma.
#55 A perro flaco todo son pulgas
#36 No. No acostumbro comer cosas regomitadas. Pero gracias.
#45 Vale. te llamaremos. ¡Siguieeeente!
¿Por qué me habéis copiado la foto de perfil?
#5 Las dos cosas hermano. Las dos cosas. Y ahora que te veo más tranquilo gracias a mí, prepara la cartera para pagar ambas cosas.
#27 A mi también, pero ya la había cambiado tras enterarme. Por cierto, que tras lo de meneame, me ha saltado un aviso de facebook de intento de cambio de password (si, uso el mismo correo). Lo divertido, es que se supone que yo borré mi página de facebook hace años... o al menos eso le ordené a FB.
#41 El desconocimiento de la ley no exime de su incumplimiento. Esta ley es usada en todos los países del mundo conocido.
https://es.wikipedia.org/wiki/Ignorantia_juris_non_excusat
Es decir que todos los pobres mortalillos debemos estudiar leyes o contratar a un abogado.
Si yo soy de la pública y no tengo dinero ni para una caña, soy carne de cañón.
Antes de hacer cualquier cosa, tengo que empollarme el BOE .
No me cuadra.
#48 No son pirateados. Son copiados como los dibujos de Freixas.
#46: ¿Por qué les ibas a quitar la cuenta?
#8 Yo las dije que evitaran esto y ésta. Pero no me hicieran casa.
#11 Quita, quita!
#24 Existencia de ánimo de lucro al cometer la receptación. Se deduce a partir de elementos objetivos, y se refiere no solamente a beneficios materiales sino incluso, en cierta forma, un reconocimiento social.
No parece que haya ánimo de lucro, lo del reconocimiento social muy cogido por los pelos.
Siendo víctima hacer el pago puede explicarse para valorar el alcance del daño.
Lo más reprochable es la financiación a quienes sí han cometido el delito, lo mismo aplica al pagar rescates tanto de personas como para descifrar datos por un virus.
No me consta que esto se persiga.
#47 Y si das cuenta que la has cagado antes de hacer commit, puedes recurrir hacer un rollback y es como si no hubiera pasado nada
Tu amigo el DBA
#43 esa es la buena pregunta y en caso afirmativo ¿A santo de qué se mantienen datos de contacto de usuarios borrados?
#61 te han hackeado. Lo mejor que puedes hacer es cambiar tu foto de perfil por una con 128 pixels alfanuméricos incluyendo mayúsculas, minúsculas y emoticonos.
#53 prefiero el hackeo que el video.
#71 Quizá podría tener sentido durante un tiempo prudencial en caso que pudiera haber alguna denuncia por los comentarios de ese usuario.
No sé si harían falta indicios para justificarlo.
#37 ¿Por qué ya no es público el código fuente?
¿Vergüenza?
#43 sí
#71 es un borrado lógico, no físico. Personalmente creo que hay que buenas razones.
#21 para eso habría que preguntar a los registrandos si quieren que sus datos sean vendidos
#74 muchas burradas habrán prescrito ya.
Mira que hacerme aprender otra contraseña después de 15 años. Tenía la misma en tuenti.
Ahora en serio, me toca las narices tener que seguir con lo de las mayusculas y los números.
Quería que mi contraseña fuese: llevoenestodesdasfoneras
Y no me dejaba ponerla
¿Sale esta fuga ya en haveibeenpwned?
Porqué menéame guarda datos de cuentas borradas?
Porqué se guarda el email de registro además del actual?
#23 Yo tengo la lista pero no es robada, me han dicho que se cayó de un camión.
Buenos días, buenas tardes, buenas noches .
Gracias por acudir a nuestro preguntame
(Leer esto con voz de Parchgirl)
La pregunta es, dada la enorme animadversión del usuario Lito hacia mi persona, que incluso en un directo de Twitch reconoció que me borró la cuenta para hacer hueco, le prestaría dinero a Lito?
#51 Ese no se toca. Si está es por algo.
#14 ¿quién es esa mujer?
Cada cuánto pentest?
#85,
.#85 Si no la conoces...es que la has liado bien parda al mezclar el cloro...
#39 en tu artículo yo y otros te preguntamos para aclarar este tema y no nos has querido contestar, es lo mínimo, ya que se trata de nuestros datos.
#56 Muy buena idea Antonio García, de Segovia. El anonimato es lo principal
#89 es un fichero que circula por ahí, como tantos otros. No tiene nada de especial. Si lo buscas, lo encuentras.
#41 Para que sea receptación tienes que saber que es robado (otra cosa es que no vale con decir que no lo sabías, hay cosas que son obvias).
#20 ¿Hay 660.000 usuarios registrados? Por lo que he podido ir leyendo se ha llegado hasta el ID algo más del 300.000. Prácticamente el 50%, cuando se dijo que "sólo" había sido como un 17%.
#0 ¿Es esto correcto? ¿Qué porcentaje de usuarios han sido afectados?
Cuánto creeis que le queda a Menéame?
Ha sido el robo un strike de karma por vuestra mala gestión administrativa?
#91 prefiero no acceder a datos de usuarios robados, gracias.
#20 No sabìa les habían levantado casi un millón de cuentas, si lo que van a decir es que están posteando propaganda de guerra, muy probablemente se esten protegiendo ellos mismos de posibles denuncias para no acabar como RT o algunas similares, a lo mejor les han dado ya un aviso serio.
#22 Esta es la pregunta más importante que se puede hacer.
#69 Pues el texto no es mio, es copiado.
¿Qué hay que hacer para darse de baja totalmente de Menéame? Es decir, ¿qué tengo que hacer (y cuanto tengo que esperar) para que se borre mi email de la base de datos?
Gracias!
#2 Qué pesadilla con las IP, vamos a ver, ¿cómo guardas un dato consultable si no es "en abierto"?
Literalmente todos los sistemas de gestión de contenidos loguean las IP de los usuarios y de registro. Yo baneo rangos completos en un foro para atajar spam Pakistaní.