FAQ: Menéame hackeado

Como seguramente ya sepais, Menéame ha sido "hackeado". Más o menos. Y claro, después de cada hackeo anunciado surgen los interrogantes. La administración ha publicado una entrada de blog llamada "Ataque y extracción de datos en Menéame: análisis y las medidas que hemos tomado" en la que, como su nombre indica, se analiza el ataque y se informa de las medidas tomadas. O no. Quizá la informática forense ha cambiado mucho y no me he enterado.

De todas formas, para los curiosos, los menos curiosos, los preocupados, los menos preocupados, los aburridos, etc., pues he decidido crear un FAQ, que es el acrónimo de fucking annoying questions, preguntas que o son estúpidas, o ya se han respondido mil millones de veces, o nadie tiene narices a responder. Así que vamos al lío.

¿En qué ha consistido el hackeo?

Básicamente parecen haber extraído una parte de la base de datos de usuarios, ordenados por fecha de registro, y que además contiene la IP y el e-mail usado para el registro, el hash de la contraseña, el status (usuario normal, "especial", admin, blogger, desactivado, diana de strikes, etc.), el nombre real (de haber sido tan idiota de añadirlo al perfil) y los sitios personales (también de haberlos añadido, como un blog, una cuenta de Twitter o de otra red social).

¿Está la web en peligro? ¿Podrían tumbarla o modificarla de forma que sea inusable?

No, no está en peligro. De lo otro ya se encargan los autores del nuevo diseño, así que es improbable que haya alguien con ganas, tiempo y que además cobre por ello que les haga su trabajo.

Pero, ¿cómo han conseguido hackear la base de datos de usuarios?

Existen varias teorías. La más plausible hasta el momento es que algún admin, durante un período de estupor resaquil, haya enviado por accidente sus credenciales por Tinder, y se sabe que el 95% de los perfiles de mujer en Tinder pertenecen en realidad a informátitrolls. Las otras opciones son un MITM (pobre seguridad), un SQL injection (pobre código), un web scraper (pobre protección anti-bots) o un "paga el server, último aviso" de AWS (pobre del que quiera hacer negocio con Menéame). Quizá incluso una combinación de varias, pues la fecha de realización del ataque coincide aproximadamente con la caída masiva que sufrió Menéame hace unas semanas por, simplificando, "exceso de peticiones al servidor", que también coincidió con la ingesta masiva de licor café en unas fiestas patronales en tierras norteñas.

¿Estoy yo en peligro? ¿Qué pueden hacer con mis datos?

Externamente a Menéame poco pueden hacer, salvo darte por culo con spam al correo con el que te hayas registrado, o buscar si has usado ese mismo correo para registrarte en otros sitios. Alguien con mala leche podría encontrar tu Facebook y hacer públicos tus comentarios racistas en Menéame. Y, en el caso de que usaras la misma contraseña patética tanto para Menéame como para tu correo, acceder a dicho correo y todo lo que tengas registrado en él (siempre y cuando averigüen tu contraseña en Menéame).

Internamente, con esos datos pueden, más o menos, localizar tus clones, tu status como admin o paria, o mandarte unos mariachis a la dirección IP, lo cual con tanto puto reggaetón hasta sería de agradecer.

¿Qué medidas han tomado para solucionarlo?

Todo apunta a que han llamado al Bufete Almeida y que han reparado la "fuga" a la manera tradicional:

¿Podrían hacer públicas las fotopollas que envío por privado?

¿Y quién te dice a ti que no son ya públicas pero todavía no te has dado cuenta? Hay algo que no cuadra en las cuentas de Menéame, más allá del tráfico de órganos y de opio comprado a los talibanes, y puede que por ahí venga la financiación extra.

¿Qué tengo que hacer, pues?

Cambiar la contraseña de Menéame nunca viene mal. De hecho, no viene mal cambiarla en todos los sitios de vez en cuando. El motivo es el mismo que cuando le cambias el pin o el patrón de desbloqueo al móvil para que tu pareja no pueda ver las fotopollas/fototetas que envías por Menéame (las de WhatsApp seguro que ya las ha visto).

¿Tiene algo que ver este hackeo con los sabojates al Nord Stream?

¿Y que la CIA ande preocupada por los usuarios que acusan a EE.UU. de ello? ¿Quizá una forma de detectar putin-bots? Para qué, si ya tienen pinchado Twitter...

El otro día entrevistaron en el Pregúntame a una periodista que sabía de hackeos...

También entrevistaron a un estratega de marcas y contenido y mira la publicidad que tiene este sitio.

¿Cuál crees que será el siguiente objetivo?

No lo sé, pero estaría cachondo que el generador de miniaturas para las noticias extrayese las fotos del archivo de fotopollas/fototetas. Nos echaríamos unas risas tratando de identificar cuál pertenece a cual usuario, salvo las de @Xtrem3, que ya las conocemos casi todos.

187 meneos

3576 clics

publicado
____

114 comentarios

COMENTARIOS DESTACADOS

: «Meneame debe notificar toda brecha de datos personales a la Autoridad de Control y por supuesto notificar a cada uno de los afectados. Si no, está incumpliendo la ley.»

2022-10-04 10:28:08

: «Aprovecho el artículo para decir que si os habéis logueado en los últimos 9 años, vuestra contraseña está hasheada en SHA-256, que es mejor que MD5 (que es como si no llevara nada _{llevara nada} ^{llevara nada}): github.com/Meneame/meneame.net/blob/master/www/libs/login.php#L233-L23 Por ahora aguantará secreta, especialmente si tiene símbolos, mayúsculas, minúsculas y no está en un diccionario. Pero será cuestión de tiempo según aumenta la potencia de cálculo de las GPUs, así que mejor id migrando a un gestor de contraseñas para tenerlas todas diferentes y no reutilizar.»

2022-10-04 08:06:37

: «Me hace gracia. Yo hace años, cuando era un adolescente hackee meneame a través de un SQL injection. Así conocí a la gente de por aquí. Por aquel entonces las contraseñas no estaban cifradas, y recuerdo todavía la contraseña que tenía gallir. Yo estaba siendo investigado en un asunto de hacking, y la policia contactó con meneame para que se sumaran a la causa contra mi. No lo hicieron, se portaron de puta madre y gallir me ayudó a "madurar" conforme dejaba atrás la adolescencia.…»

2022-10-04 15:16:51

: «#17 #10 Fácil, usas un formato que indique que tipo de hash es (cosa que hacen si miras la captura del leak) pillas el MD5 actual, y actualizas todos los usuarios tal que SHA256(MD5 de la DB). Luego en codigo lo que haces es que si el usuario al hacer login tiene en DB ese tipo personalizado compruebas la pass que te manda como SHA256(MD5(pw que el user manda)), y ya si es correcta tiras el update por SHA256(pw). PD: A estas alturas un SHA256 o cualquier SHA de la familia 2 a pelo no es buena opción, ni con salt, mejor usar KDFs (por ejemplo PBKDF2).»

2022-10-05 07:29:45

: «¿Está la web en peligro? ¿Podrían tumbarla o modificarla de forma que sea inusable? No, de hecho los hackers, en un ataque de lástima, podrían hasta arreglar el diseño nuevo.»

2022-10-05 07:40:10

Click para ver los comentarios

menéame

condiciones legales / de uso / y de cookies
/ quiénes somos
/ licencias: código, gráficos, contenido
/ HTML5
/ codigo fuente