Ha habido otra brecha de seguridad en Monster.com. Lo sorprendente es que todavía guarden contraseñas sin cifrar en una base de datos después del último ataque, así como la decisión de no enviar un email a los usuarios (supuestamente para que no haya quejas). "Han sido robados todos los datos de los usuarios de Monster.com: IDs de usuario, contraseñas, nombres, emails, fechas de nacimiento, sexo, raza, e incluso estado de residencia. La información no incluye números de la Seguridad Social (...)" (Sigue en #1)
#1:
"Han sido robados todos los datos de los usuarios de Monster.com: IDs de usuario, contraseñas, nombres, emails, fechas de nacimiento, sexo, raza, e incluso estado de residencia. La información no incluye números de la Seguridad Social (que Monster.com dice que no guarda), ni currículums. Monster.com puso el aviso acerca de la brecha el viernes por la mañana, y no tiene laneado enviar emails a los usuarios para informarles del problema, dijo Rikki Richardson, una portavoz de Monster.com. El SANS Internet Storm Center también puso una nota sobre la brecha el viernes."
#13:
#11 "yo, habiendo trabajado en el campo de la seguridad y siendo capaz de encontrar bugs en cualquier web en menos de 5 minutos..."
Solo te ha faltado decir que fuiste tu quien inventó las inyecciones sql!!!
#6:
#4
Buff, si yo te contara cómo guardaba los passwords cierta web española...
#20:
#18#6
Era poca cosa, y duró solo los primeros días. Era entendible, puesto que estaba en un "pobrecito" servidor que no habría dado a basto para cifrar y descifrar todo...
Lo siento, pero no puedo decir qué famosa red social española era, o Ricardo Galli me va a banear
"Han sido robados todos los datos de los usuarios de Monster.com: IDs de usuario, contraseñas, nombres, emails, fechas de nacimiento, sexo, raza, e incluso estado de residencia. La información no incluye números de la Seguridad Social (que Monster.com dice que no guarda), ni currículums. Monster.com puso el aviso acerca de la brecha el viernes por la mañana, y no tiene laneado enviar emails a los usuarios para informarles del problema, dijo Rikki Richardson, una portavoz de Monster.com. El SANS Internet Storm Center también puso una nota sobre la brecha el viernes."
#18#6
Era poca cosa, y duró solo los primeros días. Era entendible, puesto que estaba en un "pobrecito" servidor que no habría dado a basto para cifrar y descifrar todo...
Lo siento, pero no puedo decir qué famosa red social española era, o Ricardo Galli me va a banear
yo, habiendo trabajado en el campo de la seguridad y siendo capaz de encontrar bugs en cualquier web en menos de 5 minutos (en caso de que los haya) he visto de todo
en el caso de monster, recuerdo que estaba plagado de bugs de xss y tenia por lo menos 2 puntos de inyeccion sql explotables la ultima vez que les eche un vistazo (hace bastantes años de eso), siendo una web grande este hack SEGURO que no era el primero, yo mismo podia haberles robado todo eso si hubiera querido, tambien podia haberles notificado del bug pero ya hace tiempo que no lo hago ya que suele ser inutil (no entienden el fallo, no quieren saber nada, no responden... o peor ! quieren que se lo arregles tu de gratis, como si tu fueras el causante del error)
Pues yo he tenido varias veces problemas con los clientes porque queriamos cifrar las passwords en la base de datos y ellos no querian. La causa que aducian es que cuando el usuario necesitara recuperar la contraseña había que mandarle la misma y no una nueva generada al azar. Da igual que le explicaras que era más seguro o que esto y lo otro. ¿Quieres texto plano? Pues toma texto plano.
Yo trabajo en una subcontrata que gestiona cierta empresa que lleva la base de datos de una de las webs mas importantes de españa. Y sinceramente, da MIEDO el grado de seguridad que hay. Desde passwords sin cifrar, hasta fallos de seguridad bastante evidente (XSS, SQL injection a gogo, validación de datos hecha por el chavo del ocho) y todo por que? Porque los clientes simplemente pasan absolutamente cuando les dices que "se podria incrementar la seguridad de X pero eso llevaria un coste Y que blablabla" simplemente pasan totalmente.
#6 tiene que ver con Menéame? Porque creo recordar haber leído algo... jajaaj
Pero tampoco me hagais mucho caso, mi mente a veces me juega malas pasadas...
Ademàs parece que no han sido los ùnicos perjudicados, USAJobs.com, alojaba sus datos apoyàndose en Monster.com y parece que se la han lìado igualmente. Segùn dice el artìculo son una organizaciòn gubernamental que sirve de red para los trabajos federales de USA. En fin, que les han follado pero bien.
#13: no, aunque las encuentro con mucha maña y suelen ser lo mas sencillo de explotar, pero bueno en realidad mi especialidad es encontrar fallos en protocolos de red y en binarios
#15: por supuesto que cualquiera puede, pero supongo que no cualquiera es capaz de escalar de un servidorucho web a tener toda la LAN hackeada
y de todas formas, las herramientas para encontrar inyecciones son el timo del siglo, como mucho encontraras los bugs si sueltan errores (no suele pasar) o con el hash md5 de la pagina, de lo contrario que sea automatizado no te sirve de nada, necesitaras darle unos parametros a parsear (y con lo dinamicas que son hoy en dia las webs...)
bueno yo he usado scripts, pero escritos por mi mismo y especialmente para ciertas webs, de lo contrario es un cristo...
Uf, menos mal que no me registré nunca en ese portal. No sé por qué nunca me dio confianza, siempre lo he visto chabacano... y veo que al final no me equivoqué.
Lo de no querer notificar a los usuarios me parece deleznable. Si ellos no se encargan, ya se encargará menéame y los ecos del menéame en difundirlo.
¿Y esto no se puede denunciar?¿No se puede hacer nada? Simplemente dejar de usarlos, pero vamos, ¿a alguna ley de protección de datosse podrá recurrir no?
No entiendo como no encriptan las direcciones el mandar datos tipo pagina.asp?id=12 yo creo que tenia que haber pasado a la historia, un dia de aburrimiento me saque todos los comunicados de la web de ezquerra republicana, puedes ahcer la consulta sql que queiras a la bd facilmente.
Comentarios
#4
Buff, si yo te contara cómo guardaba los passwords cierta web española...
"Han sido robados todos los datos de los usuarios de Monster.com: IDs de usuario, contraseñas, nombres, emails, fechas de nacimiento, sexo, raza, e incluso estado de residencia. La información no incluye números de la Seguridad Social (que Monster.com dice que no guarda), ni currículums. Monster.com puso el aviso acerca de la brecha el viernes por la mañana, y no tiene laneado enviar emails a los usuarios para informarles del problema, dijo Rikki Richardson, una portavoz de Monster.com. El SANS Internet Storm Center también puso una nota sobre la brecha el viernes."
Vía:
http://it.slashdot.org/article.pl?sid=09/01/25/1314215
Ataque anterior, en agosto del 2007:
http://it.slashdot.org/article.pl?sid=07/08/22/058239
Nota de Monster.com:
http://help.monster.com/besafe/jobseeker/index.asp
Nota de SANS:
http://isc.sans.org/diary.html?storyid=5737
#11 "yo, habiendo trabajado en el campo de la seguridad y siendo capaz de encontrar bugs en cualquier web en menos de 5 minutos..."
Solo te ha faltado decir que fuiste tu quien inventó las inyecciones sql!!!
#13 ¡Fácilmente!
#18 #6
Era poca cosa, y duró solo los primeros días. Era entendible, puesto que estaba en un "pobrecito" servidor que no habría dado a basto para cifrar y descifrar todo...
Lo siento, pero no puedo decir qué famosa red social española era, o Ricardo Galli me va a banear
#11
Cualquiera puede encontrar fallos de inyección SQL y de XSS, no hace falta ser un crack.
Incluso añado que hoy en día no tiene ningún mérito, ya que hay una enorme cantidad de herramientas automatizadas que lo hacen...
Menos lobos, Caperucita
Qué rápido lee la gente...
yo, habiendo trabajado en el campo de la seguridad y siendo capaz de encontrar bugs en cualquier web en menos de 5 minutos (en caso de que los haya) he visto de todo
en el caso de monster, recuerdo que estaba plagado de bugs de xss y tenia por lo menos 2 puntos de inyeccion sql explotables la ultima vez que les eche un vistazo (hace bastantes años de eso), siendo una web grande este hack SEGURO que no era el primero, yo mismo podia haberles robado todo eso si hubiera querido, tambien podia haberles notificado del bug pero ya hace tiempo que no lo hago ya que suele ser inutil (no entienden el fallo, no quieren saber nada, no responden... o peor ! quieren que se lo arregles tu de gratis, como si tu fueras el causante del error)
Desde luego que aquí con la LOPD se los "follarían" vivos...
Además las contraseñas en texto plano ala! ni MD5, para que!
#6 cuenta!
#6 Cuentalo, por dios
No digas nombres pero CUENTALO!!!!
Pues yo he tenido varias veces problemas con los clientes porque queriamos cifrar las passwords en la base de datos y ellos no querian. La causa que aducian es que cuando el usuario necesitara recuperar la contraseña había que mandarle la misma y no una nueva generada al azar. Da igual que le explicaras que era más seguro o que esto y lo otro. ¿Quieres texto plano? Pues toma texto plano.
Me acabo de borrar la cuenta, y diciendoles clarito el motivo
#23
Yo me ahorro todos esos engorrosos pasos.
Uso Django
Yo trabajo en una subcontrata que gestiona cierta empresa que lleva la base de datos de una de las webs mas importantes de españa. Y sinceramente, da MIEDO el grado de seguridad que hay. Desde passwords sin cifrar, hasta fallos de seguridad bastante evidente (XSS, SQL injection a gogo, validación de datos hecha por el chavo del ocho) y todo por que? Porque los clientes simplemente pasan absolutamente cuando les dices que "se podria incrementar la seguridad de X pero eso llevaria un coste Y que blablabla" simplemente pasan totalmente.
#6 tiene que ver con Menéame? Porque creo recordar haber leído algo... jajaaj
Pero tampoco me hagais mucho caso, mi mente a veces me juega malas pasadas...
Me recuerda a aquella vez en la que se podian ver las fotos de los asistentes de la Campus-Party.
Otro motivo más para no poner demasiada información confidencial en un servidor de Internet. Sabiendo como se las gastan algunos administradores...
Eso es como un balde de agua fría para mí. Como dice el #8 me han follado bien.
#0 Para eso ya está menéame. PANIC MODE ON.
Si hasta yo para webs mierdosas que hago encripto con Sha1 poniendo sal a las contraseñas y sanitizo los datos antes de meterlos en la BD.
Ademàs parece que no han sido los ùnicos perjudicados, USAJobs.com, alojaba sus datos apoyàndose en Monster.com y parece que se la han lìado igualmente. Segùn dice el artìculo son una organizaciòn gubernamental que sirve de red para los trabajos federales de USA. En fin, que les han follado pero bien.
Desde luego que aquí con la LOPD se los "follarían" vivos...
Además las contraseñas en texto plano ala! ni MD5, para que!
Y tanto como que serían 60.000 € de multa por infracción muy grave.
Salu2
Edit: nanai
#19 ... cómo no, en que país vivimos?
#31 Jode, yo preferia saber QUE barbaridad se hace y no QUIEN la hace....
Pq en estas cosas no se pueden saber las dos cosas a la vez... kaka
#20 pues cuentanos el pecado y no el pecador....
Nos dejas con la mosca detras de la oreja.
En monster.fr hay mensaje anunciado como importante relacionado con la seguridad:
http://aide.monster.fr/besafe/jobseeker/index.asp
#6 Se llamaba ... Mmmmmmmmm... no me sale
"Era entendible, puesto que estaba en un "pobrecito" servidor que no habría dado a basto para cifrar y descifrar todo... "
Ejem ... hay funciones que pasándole la lista de contraseñas lo hacen automáticamente. No hace falta ir una por una con papel y lápiz
#25 famosa red social española. A mí se me ocurre una, parecida a facebook...
#20 ¿Es esa?
#13: no, aunque las encuentro con mucha maña y suelen ser lo mas sencillo de explotar, pero bueno en realidad mi especialidad es encontrar fallos en protocolos de red y en binarios
#15: por supuesto que cualquiera puede, pero supongo que no cualquiera es capaz de escalar de un servidorucho web a tener toda la LAN hackeada
y de todas formas, las herramientas para encontrar inyecciones son el timo del siglo, como mucho encontraras los bugs si sueltan errores (no suele pasar) o con el hash md5 de la pagina, de lo contrario que sea automatizado no te sirve de nada, necesitaras darle unos parametros a parsear (y con lo dinamicas que son hoy en dia las webs...)
bueno yo he usado scripts, pero escritos por mi mismo y especialmente para ciertas webs, de lo contrario es un cristo...
Uf, menos mal que no me registré nunca en ese portal. No sé por qué nunca me dio confianza, siempre lo he visto chabacano... y veo que al final no me equivoqué.
Lo de no querer notificar a los usuarios me parece deleznable. Si ellos no se encargan, ya se encargará menéame y los ecos del menéame en difundirlo.
Acabo de borrar mi cuenta, aquí dejan una carta:
http://ayuda.monster.es/besafe/jobseeker/index.asp
#3 Para comentar la entradilla no creo que haga falta leer la noticia completa, ¿no crées?.
¿Y esto no se puede denunciar?¿No se puede hacer nada? Simplemente dejar de usarlos, pero vamos, ¿a alguna ley de protección de datosse podrá recurrir no?
Bye-nee
Acaso te llaman cuando roban un banco y se llevan "tu dinero"
No entiendo como no encriptan las direcciones el mandar datos tipo pagina.asp?id=12 yo creo que tenia que haber pasado a la historia, un dia de aburrimiento me saque todos los comunicados de la web de ezquerra republicana, puedes ahcer la consulta sql que queiras a la bd facilmente.
Que les metan un puro!!!!!