Pregúntame: encuentros digitales
67 meneos
3920 clics
Somos Marcos y Patch. Pregúntanos

Somos Marcos y Patch. Pregúntanos

Después del ataque y el robo de datos que hemos sufrido los últimos días, vamos a ir respondiendo a las preguntas que tengáis (de manera ordenada y explicando solo las cosas que sepamos y/o lo que no esté bajo investigación).

Relacionada: blog.meneame.net/2022/10/03/ataque-y-extraccion-de-datos-en-meneame-an

Viernes, 7 de octubre a partir de las 13h en vídeo.

| etiquetas: pregúntame , entrevistas
47 20 5 K 29
47 20 5 K 29
Comentarios destacados:                                  
#4 ¿Habeis comunicado a todos los usuarios afectados a través de su email?

¿Los usuarios afectados son los que su ID está dentro de los 250k primeros?

¿Cómo vais a compensar a los afectados? ¿Con una cuenta de Meneame Premium?

¿Podeis explicar técnicamente como ha sido el ataque?

¿Qué datos exactamente han sido robados?

¿Es cierto que los rancios nos hemos librado del robo?
#0 La pregunta de rigor: la tortilla, ¿con cebolla o sin cebolla? :-D
#1 Respondida en el 4:17
#127 marcos baneado
#1 ¿El robo de datos con o sin patatas?
#10 Respondido en 5:06
#1 ha habido un filtrado del gusto de la tortillas de los meneantes? Se sabe si alguien pagará algo por ello?
#1 Habeis probado la McRib ?
Es necesario tener en abierto nuestras IPs e emails en la BD?
Cuantas veces a la semana usas ese gif en tus chats de trabajo?
Cuantas horas extras sin pagar te has comido por este marron?
#2 Respondido en 7:21
#2 Qué pesadilla con las IP, vamos a ver, ¿cómo guardas un dato consultable si no es "en abierto"?

Literalmente todos los sistemas de gestión de contenidos loguean las IP de los usuarios y de registro. Yo baneo rangos completos en un foro para atajar spam Pakistaní.
#2 A mí me han hackeado el teléfono...gracias a esas IPs.
Y mi ID es superior a 600k.
Delante de mis narices he visto como me han colgado una llamada y al momento le ha enviado un SMS a ese contacto, que con lenguaje coloquial ponía que no podía coger ahora y que qué pasaba.

Puta gracia la broma de las IPs
¿Habeis comunicado a todos los usuarios afectados a través de su email?

¿Los usuarios afectados son los que su ID está dentro de los 250k primeros?

¿Cómo vais a compensar a los afectados? ¿Con una cuenta de Meneame Premium?

¿Podeis explicar técnicamente como ha sido el ataque?

¿Qué datos exactamente han sido robados?

¿Es cierto que los rancios nos hemos librado del robo?
#4 Respondido en 15:30
#132 ¿Qué significa "15:30"? ... ¿Es la hora a la que pensáis responder?
#4 mi ID está entre los afectados, me salió una ventana para cambiar la password, pero de notificación por email nada :palm:
#27 A mi también me salió de cambiar la contraseña, pero di por hecho que eso era para todo el mundo, al menos no decía nada de que yo hubiera sido afectado concretamente. Mi ID es más de 300k y suponía que no, pero ahora ya no se.
#0 ¿Ha sido esta la notificación de los afectados?
#31 yo cambié clave y email en cuanto me enteré.

El sistema de Yahoo para crear cuentas de correo desechables es bastante bueno (si tienes la costumbre de usarlo con todo)
#27 Yo cambié la contraseña nada mas salir a la luz el suceso, y aun así meneame me saltó a los dos días con la obligación de volver a cambiar la contraseña... y me dejó repetir!!! ni siquiera comparó los hashes o comprobó la complejidad de la misma.
#102 Respondido en 20:10
#102 A mi tambien me dejo poner la anterior si... jajaja
#40 Yo la cambié pronto y luego obligaron a cambiarla todo el mundo así que la he cambiado dos veces.

Edit: como #102
#27 A mi también, pero ya la había cambiado tras enterarme. Por cierto, que tras lo de meneame, me ha saltado un aviso de facebook de intento de cambio de password (si, uso el mismo correo). Lo divertido, es que se supone que yo borré mi página de facebook hace años... o al menos eso le ordené a FB.
#27 a mi tb, y ya la había cambiado dos días antes.
#27 Yo me he enterado por una noticia, ni siquiera entro ya en Meneame. Ahora quiero borrar mi cuenta con todos mis comentarios y mis envíos, y no hay manera de hacerlo.

Tenían la obligación legal de informar directamente a los usuarios afectados y no lo han hecho en el plazo.
La AEPD ha entrado en el chat
¿Han accedido a mis datos? Es que una rusa que está muy buena me está escribiendo y no se si es una estafa o es que he ligado.
#5 Dale una oportunidad al amor, yo estoy segura de que has ligado. {0x1f60d}
#7 No sé qué pasa que no me sale comentar así que me dirijo desde aquí y te dejo unas preguntas

No te parece grave que aunque se de por supuesto que se usen cuentas falsas para los registros alguien pueda conocer la dirección de mail de un usuario? Yo la verdad lo considero bastante grave, y eso no debiera poder darse ni por asomo. Tal vez convendría explorar algún sistema de validación más real porque también va en demérito de la página reconocer los que ya sabemos todos, que esto está lleno…   » ver todo el comentario
#5 esa lo que quiere es casarse contigo, hacerte ruso y mandarte a Ucrania. Ojito con las recruiters.
#5 Las dos cosas hermano. Las dos cosas. Y ahora que te veo más tranquilo gracias a mí, prepara la cartera para pagar ambas cosas.
#5 Presentasela al principe nigeriano que tambien te escribe por un premio.

Lo mismo haces de celestina.
Hola, boinas.
- ¿Salgo guapo en la tabla?
- ¿Se ha filtrado mi tarjeta de crédito que no os he dado?
- ¿Es delito comprar o compartir esa tabla?
- Marcos, ¿Por qué no me amigas?
#6 Respondido en 22:15
#6 Ya te contesto yo: es delito comprar material robado sabiendo que ha sido robado.
#26 como cuando compras discos a los manteros?
#26 Es delito comprar material robado sin saber que es robado. Se llama receptación.
¿Creéis que si hubiera habido un departamento informático con perspectiva de género esto se pudiera haber evitado?
#8 Respondido en 23:40
#8 Yo las dije que evitaran esto y ésta. Pero no me hicieran casa.
¿Cuándo vais a poner mas emojis? Así como por poneros un ejemplo, el emoji pelirrojo que se me prometió ¬¬

#prayforamperobonus
#11 Respondido en 24:50
#11 Síii, emojis, emojis.

No los cambiáis de hace décadas.
#17 joder, si aún sigue el de profesor...
#11 Quita, quita!
Puedo mudarme ya al nuevo diseño o sigue petando?

Que version de meneame usan ellos?

Hay tema oscuro en el nuevo diseño? Si no lo hay, cuando lo habrá?
#12 Respondido en 25:30
¿Es cierto que gracias a la nueva imagen y por cumplir con la paridad de sexo en MNM habéis contratado a una nueva becaria?  media
#14 ¿quién es esa mujer?
Si es verdad que os pagan por mantener la web y aguantar tanto troll, ¿Los cacahuetes llevan cáscara o vienen pelados?
#15 Respondido en 28:14
#140 Graciassss :hug:
Huele a SQL injection. Sanitisais las entradas?

'); SELECT password from users; - -
#16 Respondido en 29:30
#47 Y si das cuenta que la has cagado antes de hacer commit, puedes recurrir hacer un rollback y es como si no hubiera pasado nada :roll:

Tu amigo el DBA :-D
No he recibido ninguna notificación de Menéame y me gustaría que me dijeran si han accedido a mis datos, que datos se han filtrado y qué debo hacer en caso de que así sea.
#18 Respondido en 30:00
Entonces al final qué, ¿me paso o no a Mediatize?
¿de esos 660000 usuarios registrados cuántos son bots? una cifra concreta.

¿cuantas multicuentas? una cifra concreta.

¿que postean los bots? ¿están controlados por una IA?
#20 Respondido en 30:15
#20 y ¿Se va a aprovechar para hacer limpieza de usuarios inactivos?

¿Queda información de los usuarios desactivados en la base de datos? En ese caso ¿Que información ha quedado expuesta de esos usuarios desactivados ?

¿ No hay alguna norma que obligue a borrar totalmente la información de un usuario que así lo quiera?
#20 ¿Hay 660.000 usuarios registrados? Por lo que he podido ir leyendo se ha llegado hasta el ID algo más del 300.000. Prácticamente el 50%, cuando se dijo que "sólo" había sido como un 17%.
#0 ¿Es esto correcto? ¿Qué porcentaje de usuarios han sido afectados?
#0 Viendo que hay usuarios a los que no les importa rascarse el bolsillo para conocer los emails y claves de los demás, y a nadie parece importarle, aunque lo reconozcan en portada:

www.meneame.net/story/hay-famoso-volcado-datos-meneame

¿Os habéis planteado vendérselos directamente y os ahorráis intermediarios?
#21 Respondido en 33:50
#21 Si hay gente que haya pagado por la lista ( y la forma de conseguir esos datos, que sepamos, es pagar 200 euros) está cometiendo un delito de receptacion.

Y si se niega a decir su procedencia, de encubrimiento.

Si no me falla la memoria hay alguien que ha hecho las dos cosas.
#23 Yo tengo la lista pero no es robada, me han dicho que se cayó de un camión.
#21 no deberías dar cosas por supuestas y menos sin citar. Es lo mínimo.
#39 en tu artículo yo y otros te preguntamos para aclarar este tema y no nos has querido contestar, es lo mínimo, ya que se trata de nuestros datos.
#21 para eso habría que preguntar a los registrandos si quieren que sus datos sean vendidos
Hola #0. En la nota del blog, comentásteis que las contraseñas almacenadas están hasheadas con MD5 y SHA256 pero no indicáis si usais "salt" o si el nº de iteraciones de cifrado es superior a 1. ¿Podríais dar más datos acerca de esto? ¿Usais simplemente MD5(pass), SHA256(pass), MD5(SHA256(pass)) o algo más robusto del tipo PBKDF2? Es por descartar que los hashes funcionen directamente en crackstation o sitios similares con rainbow tables "corrientes"
#22 Respondido en 35:30
#146 Respondido de aquella manera. La seguridad por ocultación de lo que estas haciendo no es seguridad real. Muy decepcionantes las respuestas que esta dando, deja claro que se pasan las buenas practicas de seguridad por el forro.
#22 No usan salt, del código de Menéame es en su mayoría open source y lo puedes mirar. Yo mismo probé a revertir algunos MD5.
#103 Pues eso es a dia de hoy es solo un pelín más seguro que almacenar las contraseñas en texto claro :palm:
#22 Esta es la pregunta más importante que se puede hacer.
¿Cuándo vais a cumplir la LGPL?
#25 Respondido en 36:25
#147 o sea que nunca...
#147 la LGPL depende de los programadores no del equipo legal. Me parece una vergüenza de respuesta...
#25 ¿Te ha quedado clara la respuesta, no? xD
Dentro de los datos robados ¿hay usuarios 'borrados'?

Es decir, los que se quedan como --123456--
#33 Respondido en 37:15
#38 ¿y tienen los mails, por ejemplo, de dichos usuarios?
¿Habéis comunicado la filtración a la AEPD como obliga la Ley? Gracias.
#35 Respondido en 37:30
¿Por qué ya no es público el código fuente? ¿Qué tiene tan especial que no puedan ver y revisar los mortales?
#37 Respondido en 37:50
#37 Porque con la de programadares que hay aquí pondrían a parir el código en cero coma.
#37 ¿Por qué ya no es público el código fuente?

¿Vergüenza?
#37 para que no se rían de las chapuzas?
Me habéis hecho cambiar de contraseña por primera vez en 15 años. ¿Os parece bonito? >:-(
#50 Respondido en 39:28
#48 tampoco han robado la base de datos, aún la siguen teniendo en el servidor de Menéame :-D
Como me parece que nadie lo dice (no lo he visto) lo digo yo.

¿Por qué tenemos que esperar al viernes y tratarnos un video? ¿No podéis responder y punto?

A mi personalmente me parece una chorrada. Gallir guardaba las contraseñas en texto plano. Y la información que se puede sacar de aquí es poca. Probablemente palmen los clones y nos los usuarios de verdad.

Pero ya que os ponéis ¿por qué tenemos que aguantar una espera y un formato insufrible?
#53 Respondido en 39:50
#53 prefiero el hackeo que el video.
#53 ¿Por qué tenemos que esperar al viernes y tratarnos un video? ¿No podéis responder y punto?

Respuesta en el vídeo: "no es cosa nuestra, es cosa de los preguntados", responde el preguntado xD xD xD xD
#53 Yo te lo explico, cuando se puede hacer uso de una plataforma externa por fallos de seguridad se lleva a los usuarios a esas otras plataformas, y no solo por fallos de seguridad sino por haber sido creadas para que sea fácil acceder a los ordenadores de los usuarios.

En #112 explico con claridad uno de los porqués.
#45 es increible Manolitro, ¿esto también?

Te ha tocado todo lo malo del mundo.
#55 A perro flaco todo son pulgas :-S
Lo más grave a mi entender es que se ha revelado la identidad de muchos que comentábamos aquí con la idea de que esto es más anónimo que otras redes sociales.
Mi confianza en Menéame se ha visto totalmente traicionada. Quizá lo justo sería poder borrar comentarios antiguos de los usuarios afectados para que quien conozca la identidad no acceda a su contenido. No sé si me explico...
#56 Respondido en 41:30
#56 Muy buena idea Antonio García, de Segovia. El anonimato es lo principal :-S :palm:

:troll:
#56 Estoy totalmente de acuerdo: @patchgirl, ¿cómo vais a ofrecer el borrado completo de los envíos y comentarios de los usuarios afectados?
¿Por qué me habéis copiado la foto de perfil?
#61 Respondido en 42:51
#61 te han hackeado. Lo mejor que puedes hacer es cambiar tu foto de perfil por una con 128 pixels alfanuméricos incluyendo mayúsculas, minúsculas y emoticonos.
#41 El desconocimiento de la ley no exime de su incumplimiento. Esta ley es usada en todos los países del mundo conocido.
es.wikipedia.org/wiki/Ignorantia_juris_non_excusat
Es decir que todos los pobres mortalillos debemos estudiar leyes o contratar a un abogado.
Si yo soy de la pública y no tengo dinero ni para una caña, soy carne de cañón.
Antes de hacer cualquier cosa, tengo que empollarme el BOE .
No me cuadra.
#24 Existencia de ánimo de lucro al cometer la receptación. Se deduce a partir de elementos objetivos, y se refiere no solamente a beneficios materiales sino incluso, en cierta forma, un reconocimiento social.

No parece que haya ánimo de lucro, lo del reconocimiento social muy cogido por los pelos.

Siendo víctima hacer el pago puede explicarse para valorar el alcance del daño.

Lo más reprochable es la financiación a quienes sí han cometido el delito, lo mismo aplica al pagar rescates tanto de personas como para descifrar datos por un virus.

No me consta que esto se persiga.
#69 Pues el texto no es mio, es copiado.
#71 es un borrado lógico, no físico. Personalmente creo que hay que buenas razones.
#77 Desde la perspectiva del usuario, y del cumplimiento con las leyes de protección de datos, ¿podrías indicar qué razones puede haber para mantener datos que se puedan asociar a una persona?
Un borrado lógico implica disociación de los datos. Si se pueden recomponer, NO ha habido borrado (ni físico ni lógico).
#91 prefiero no acceder a datos de usuarios robados, gracias.
#98 El problema no está en el texto que has copiado sino en tu interpretación de que aplica a este caso para el usuario al que acusas de ello.
#105 Datos robados que están en venta.
Datos que afirmas tener.
Poca interpretación.
#107 Quizá has hecho poca interpretación pero parece que la poca que has hecho la has hecho fatal.

No parece que haya ánimo de lucro, lo del reconocimiento social muy cogido por los pelos.

Siendo víctima hacer el pago puede explicarse para valorar el alcance del daño.

Lo más reprochable es la financiación a quienes sí han cometido el delito, lo mismo aplica al pagar rescates tanto de personas como para descifrar datos por un virus.

No me consta que esto se persiga.
#108 Eso explícaselo a la policía que es con quien acabo de hablar.
Ademas, no quiere revelar la fuente, eso es encubrimiento.
#113 Yo conozco de una fuente porque fue publicada en menéame, se publicó una captura de la deep web donde sospecho había datos suficientes para encontrar dónde comprar los datos. Es esta: www.meneame.net/story/parece-meneame-ya-sufrido-hackeo

Si se han comprado por la deep web no hay ningún motivo para presuponer que se conoce a quien lo vende. No habría por lo tanto encubrimiento alguno.

Si tienes noticias del desenlace de las actuaciones de la policía te agradecería nos fueras informando, aunque ya te adelanto que no es la policía quien determina la culpabilidad de un acusado sino un juez.
#114 Si tu compras una tele sabiendo que es robada ya es un delito, al margen de que conozcas la identidad de quien hizo el robo.
#116 En el caso de una tele robada es más defendible el ánimo de lucro que en la compra de datos entre los cuales están los tuyos.

En el caso del televisor te estás ahorrando comprar uno nuevo que es más caro y estás aprovechando la existencia de un televisor más barato, a sabiendas que es robado, para tu beneficio.

En el caso de la compra de datos robados entre los cuales están los tuyos pueden existir motivaciones legítimas para ello como conocer el alcance del daño, para poder tomar…   » ver todo el comentario
#34 Respondido en 5:31
#36 Respondido en 6:21
#9 Respondido en 24:15
#13 Respondido en 27:30
#46 Respondido en 31:35
#28 Respondido en 36:40
#148 lol perdona, he votado negativo al comentario (lo mismo no he sido no yo) no se ni como. Arreglalo, o ya si eso lo edito yo en la base de datos :troll:

Dicho esto, no se que mierdas pasa con youtube o el vídeo que hace buffer unos segundos y se corta. Aún no he podido verlo.

Edit: ok, o sea en el principio del vídeo se explica.
#49 Respondido en 39:05
#154 Gracie! A mi abuela le ha hecho ilu. :-D Y gracias por contestar con el minuto de respuesta. Muy eficiente
#80 Respondido en 43:50
#81 Respondido en 44:30
#83 Respondido en 44:50
#163 :palm: :palm: :palm: :palm: :palm:

Al menos lo leíste con voz de Parchgirl jajajajajaja
#101 Respondido en 45:15
#122 Respondido en 46:50
#86 Respondido en 48:30
#94 Respondido en 50:48
#99 Respondido en 52:15
#106 Respondido en 53:45
#124 Respondido en 55:50
#152 No! Es el minutaje del vídeo de YouTube donde estamos respondiendo :-)
#174 ¡Oh! .... ¡Nooo! ... Vosotros también habéis adoptado esa fea costumbre. :palm:

'Meneame' absorbido por 'YouTube' en 3, 2, 1, ...
(Y encima sin subtítulos).

Bueno. Al menos no habéis respondido mediante audios de 'Güasap'.
{0x1f44b}
#183 lo que dices now tiene ni pies ni cabeza
#187 pues explícame cómo ha hecho eso, escuché la llamada fui corriendo y vi como borró la notificación. Fui a los sms para ver si salía quien había llamado y tenía un mensaje que yo no escribí y no tengo automatizado.
Y todo lo del #184 lo vi en directo.
Explícamelo, porque los fallos de pantalla táctil no hacen eso, son aleatorios o afectan solo a una parte de la misma.
#188 no tengo ni idea de qué tiene que ver una IP en una base de datos con tus problemas con el móvil, ¿tú sabes lo que es una IP?
#189 #191 iros a cagar los dos, lo que tengo yo no es un problema con el móvil, me lo han hackeado y yo ni instalo mierdas y ando por 4 páginas y una es meneame.
Y vaya mierdas de hackers conoceis para no saber que con la IP si quieren, es el principio.
#182 200% de acuerdo contigo
«123
comentarios cerrados

menéame