¿Problemas de seguridad?

Al parecer es un problema de seguridad externo, un robo de usuarios/contraseña de otro foro según me informan, no sé mucho más pero la guardia civil ya está en ello y todo lo que están haciendo por aquí ayudará en la investigación/acusación así que mejor no remover mucho el tema. Eso sí, quien use el mismo usuario y contraseña en otros foros mejor que vaya cambiándola.

que otro foro ha sido afectado? Por curiosidad y por si estoy registrado aunque no lo recuerde, xdd

hdcity

Hola jixo, he sido uno de los afectados.....ya he restablecido mi cuenta con nueva contraseña pero me he encontrado en mis MP un par de mensajes supongo que del tonto de turno (y preveo que vas a encontrarte el mismo caso en el resto de usuarios).

¿Te sirve de algo que te haga llegar el par de mensajes que he recibido con el user.....o a este usuario también le han robado la cuenta y se la han usado para fines penosos?

Aprovecho para dar las gracias a un usuario de otra página relacionada con lo retro que os envió un mensaje para ayudarme en este caso (no digo su nick para que no quede en este hilo que de seguro que se va a llenar de basura).

Gracias por resolver este tema en breve tiempo.

Buenas, me acaban de pedir que cambie la contraseña por mail. Mi contraseña era débil y seguramente no resistiría ni el ataque más flojo de diccionario, cosa que no habla demasiado en mi favor. En cualquier caso si obligáis a cambiarla deberíais informar del motivo en vez de un genérico “por seguridad”. Si habéis perdido la base de datos puede haber gente que tenga que mejorar su seguridad teniendo en cuenta esta filtración. Y si habéis encontrado que mi contraseña es débil, os invito a que mejoréis mucho el sistema de logueo porque no me hace maldita la gracia que ni siquiera vosotros podáis saber mi contraseña en ningún momento, con su hash deberíais tener suficiente y ya que os ponéis, que sea por https. Entiendo de antemano que habéis tenido la sensibilidad de no guardar las contraseñas en claro, ¿no?.

Jobar, que putada, y vaya seguridad los de hdcity.

Shantotto, a poco que leas te darás cuenta que el problema no es de EOL sino de que en su momento te registraste en HDcity y usaste el mismo nick y pass que usas aquí.

O sea, que algún iluminado ha cogido tus datos de otra página y los tiene en su poder para dar por culo aquí (en este caso HDcity fué la página a la que le falló la seguridad).

¿Tú no has recibido un par de mensajes del "iluminado"?

Bueno, por aquí otro de los afectados por el "proyecto abortado de hacker" que ha estado fastidiando a muchos por aquí.

Sólo decir que la actuación del Staff de EOL ha sido de "chapeau" porque lo han solucionado todo en cuestión de horas tras enterarse del tema y, al menos para mí, sin problemas con los datos de mi cuenta mas que los lógicos de perder la actividad de los, mas o menos, 2 últimos días.

Por mi parte un millón de disculpas a EOL por haber sido tan gilipollas de no haberme acordado de cambiar mis datos de acceso aquí cuando ya sabía de antemano que en hdcity habían robado los datos de acceso de usuarios que llevamos con ellos un montón de años (la verdad es que con tantas cuentas en tantas webs alguna tenía que pasárseme).

De nuevo, gracias EOL y disculpas a todos los usuarios que se hayan visto afectados por el acceso no autorizado a algunas de nuestras cuentas.

p.d. Por cierto, no veo comunicado oficial por ninguna parte y creo que estaría bien que anunciaseis en la web lo que ha pasado para que todo el mundo esté al tanto.

No, bullituary, no he recibido ningún mensaje, ni he publicado ninguno que yo sepa, ni privado ni público. Ni siquiera tengo cuenta en HDCity y he sabido de ese tema esta mañana, al margen de que ayer EOL iba de pena. Por eso que al no tener ninguna relación con el juanquer de las pelotas y que alguien que afirma ser EOL sin poder comprobarlo me pida cambiar la contraseña así sin vaselina y sin dar explicaciones de por qué, pues no mola.

Luego uno se empieza a plantear qué tal es el esquema de seguridad de EOL y se da cuenta de que viene a ser una mierda pinchada en un palo aunque no haya pasado nada grave. El valor de las cuentas es escaso, creo que hasta el gato ha dado datos falsos en el registro, pero sí que alguien que haya usado el foro de C/V puede tener datos comprometidos ahí. Las cuentas deberían de EOL deberían ser tratadas con un mínimo de respeto que ahora mismo no se está cumpliendo.

Shantotto escribió:Luego uno se empieza a plantear qué tal es el esquema de seguridad de EOL y se da cuenta de que viene a ser una mierda pinchada en un palo aunque no haya pasado nada grave. El valor de las cuentas es escaso, creo que hasta el gato ha dado datos falsos en el registro, pero sí que alguien que haya usado el foro de C/V puede tener datos comprometidos ahí. Las cuentas deberían de EOL deberían ser tratadas con un mínimo de respeto que ahora mismo no se está cumpliendo.

Pero que el problema no es de EOL.

Si un tío saca tu nick/password de otra web y se da la casualidad de que usas el mismo en varias webs, poco se puede hacer, ya que no existe un intento de acceso sospechoso.

Shantotto escribió: Ni siquiera tengo cuenta en HDCity

Interesante esta afirmación.

Entonces, ¿Qué ha pasado y por qué?
Espero que haya explicaciones cuando el tema esté más estudiado.

Por cierto, Shantotto, respecto a lo del cambio de contraseña, mírate ésto

http://www.elotrolado.net/hilo_cambio-de-contrasena-obligatorio_1738125?hilit=contrase%C3%B1a%20debil#p1728157211

Shantotto no está entre los afectados por el robo de cuentas de hdcity, y todos ellos (los afectados en EOL) han sido avisados por email y su contraseña restablecida. Como se comenta en el hilo indicado por PainKiller hace unas semanas reforzamos el sistema de seguridad de las cuentas y cuando un usuario hace login con una contraseña "débil" (las contraseñas aquí se guardan con cifrado fuerte y solo se pueden ver en claro en el momento del login, pero es un proceso automatizado sin intervención humana y no conocemos que contraseña en concreto tenía el usuario) esta es reseteada y enviada la nueva al email del usuario. Sobre qué consideramos cono contraseña "débil", pues que sea igual al nick, o cosas como "eol", "pass", "12345", etc. y por lo visto Shantotto sería tan descuidado como para usar una clave así (no pasa nada, mucha gente es así de confiada, aunque luego no van dando lecciones de seguridad).

Shantotto escribió:Luego uno se empieza a plantear qué tal es el esquema de seguridad de EOL y se da cuenta de que viene a ser una mierda pinchada en un palo aunque no haya pasado nada grave. El valor de las cuentas es escaso, creo que hasta el gato ha dado datos falsos en el registro, pero sí que alguien que haya usado el foro de C/V puede tener datos comprometidos ahí. Las cuentas deberían de EOL deberían ser tratadas con un mínimo de respeto que ahora mismo no se está cumpliendo.

phpBB, sistema de foros en el que EOL está basado, en ningún momento guarda las contraseñas en texto plano, sino en forma de hash (http://ftp.phpbb-fr.com/public/cdd/phpbb3/3.0.9/includes/functions.php.source.txt, función phpbb_hash)

A mí tb me ha llegado el email de EOL avisándome del problema con mi cuenta, ¿pero cómo sé que he sido afectado? El caso es que ya he restablecido la contraseña y tengo una nueva mucho mejor.

Por cierto, cuando hdcity.es migró a hdcity.li se cambiaron las contraseñas y la mia de eol y hdcity.li no se parecen en nada, pero sí es posible que la de hdcity.es fuera la misma que la que tenía ahora en Eol, pero a saber.

¿Alguien ha hecho o escrito algo con mi cuenta en Eol, cómo puedo saber eso? Gracias.

Rivroner no parece que hayan hecho nada con tu cuenta.
Concretar también que el robo fue en hdcity.es

jiXo escribió:Rivroner no parece que hayan hecho nada con tu cuenta.
Concretar también que el robo fue en hdcity.es

Pues nada, me alegro.

Gracias.

jiXo escribió:(las contraseñas aquí se guardan con cifrado fuerte y solo se pueden ver en claro en el momento del login, pero es un proceso automatizado sin intervención humana y no conocemos que contraseña en concreto tenía el usuario)

Quizás un login seguro con certificado...

Buenas!

Me paso por aquí como otro de los tantos afectados... Ya está todo hecho. Contraseña cambiada de esta web y de otras más por si las moscas.

Es el problema de estar dado de alta en muchos sitios, que por vagancia, utilizas la misma pass para todo...

Ante todo pido disculpas por mi torpeza y mis felicitaciones al Staff por solucionarlo tan rápido como se enteraron!

PD: Tampoco sé si hicieron algo con mi cuenta, creo que no, ya que ni MPs, ni mensajes raros ni nada...

Para los vagos y/o olvidadizos: http://www.keepassx.org/

Ahí estamos, coyote, aunque yo lo ampliaría a todas las operaciones relacionadas con panel de control y estudiar la posibilidad de que las comunicaciones por mail vayan también cifradas.

jiXo, ya me esperaba el tirón de orejas respecto a mi contraseña y he admitido mi descuido a la hora de crear la cuenta lo cual no significa que sea un inútil en la materia, tan solo que no le doy demasiado valor a la cuenta de EOL ni a lo que depende de ella. Las cosas serias
las tengo detrás de un disco de arranque solo lectura cuando el servidor me lo permite. Ahora bien, si consideras que el hecho de que tus usuarios sean unos descuidados te da permiso para dejar la autentificación vulnerable a sniffers, a ataques MITM y a phishings pues poco más tengo que decir.

Insisto en el escaso valor de las cuentas de usuario de EOL por lo que es poco probable un ataque de alguien que no sea un script kiddie. Pero dificultarlo bastante y prácticamente negarlo hasta para profesionales es fácil y barato, tampoco voy a descubrir la sopa de ajo. No sois responsables de la debilidad de mi contraseña, desde luego, y no podéis ser responsables de los keyloggers que puedan tener vuestros usuarios, pero sí que sois responsables como custodios de nuestros "datos" y mensajes privados que podamos haber depositado a vuestra confianza.

Estando con un hash en condiciones y nada de porquería en texto plano, de aquí a que lo consigan ya tienen que tener tiempo y aburrirse...

coyote escribió:Para los vagos y/o olvidadizos: http://www.keepassx.org/

¿Es como 1Password pero de SL? Si es así, interesante...

coyote escribió:Para los vagos y/o olvidadizos: http://www.keepassx.org/

Mariconadas xD
define('_DB_TYPE_', 'MySQL');
define('_COOKIE_KEY_', 'ASyuWwOzuQt9oJCadYKcQCpAcK3VcZwHMNrAZHFiakLFj1ybxwFjqrEe');
Te haces un server que regenere y arrea

Snakefd99cb escribió:blabla

No todos somos tan listos y/o tenemos ganas de meternos en esas cosas ni montar servidores

Snakefd99cb escribió:Estando con un hash en condiciones y nada de porquería en texto plano, de aquí a que lo consigan ya tienen que tener tiempo y aburrirse...

La verdad es que sí. El que se haya olvidado la contraseña que meta una nueva y listo. Pero por seguridad, ninguna contraseña debería ser recuperable así que lo mejor es meterle una función irreversible y listo.

Pues la verdad es que si, se supone que las contraseñas no han de ser recuperables y que en la BBDD se ha de guardar un Hash de la misma, que es lo que se compara posteriormente.

A mí me ha llegado hoy correo advirtiendo de que la base de datos de otra web (que a mí al menos no me suena de nada) ha sido robada y que mi nick coincide con el de EOL y tal...

Lo que me extraña es que mi dirección en la cuenta de eol es jorcoval@XXXX.com y me ha llegado el correo a otra cuenta jorcoval@YYYY.com

PD: Y de paso si alguien me dice dónde encontrar la bbdd de esta otra web... quiero confirmar si soy yo o no.

jorcoval escribió:A mí me ha llegado hoy correo advirtiendo de que la base de datos de otra web (que a mí al menos no me suena de nada) ha sido robada y que mi nick coincide con el de EOL y tal...

Lo que me extraña es que mi dirección en la cuenta de eol es jorcoval@XXXX.com y me ha llegado el correo a otra cuenta jorcoval@YYYY.com

Nos hemos enterado que había pasado otro caso como el de hdcity con bastantes usuarios de eol y hemos tomado las mismas medidas (la web afectada es buygame2.com). Sobre la dirección de email, debes de tener otra cuenta registrada desde ella (con jorcoval* solo veo esta, puedes pasarmela por mp si quieres que lo compruebe).

Exacto, era buygame2.

No te preocupes, Jixo, gracias. Si ya está confirmado que lo habeis enviado sólo voy a intentar buscar qué datos hay en buygame2, que no me suena haberme registrado pero por si acaso...

Aunque de todas formas, tengo contraseñas distintas en los sitios web que más uso.

PD: Acabo de registrar mi nick en dicha tienda y he podido hacerlo, así que en teoría no existía

Yo tambien he recibido ese mail, por suerte no compartía contraseña con ninguna web.

Aunque miedo me da porque hice compras en esa web y tenían muchos de mis datos personales =S

Esto es una plaga, vaya seguridad que gastan en algunos sitios.

La verdad es que si... ya he cambiado casi todos los datos de esa web que pienso que tras ese gran fallo de seguridad tendrían que haber borrado todas las cuentas ya que se han hecho nueva web.... pero bueno =S

También aprovecho para dar las gracias a el staff de EOL por el mail sino, nunca me hubiese enterado =S

Yo ya resolví desde hace tiempo tener en cada sitio "importante" una contraseña distinta y luego otra contraseña genérica para registros tontos.

Scylla escribió:Yo ya resolví desde hace tiempo tener en cada sitio "importante" una contraseña distinta y luego otra contraseña genérica para registros tontos.

Con tener una para correo, otra para sitios con datos sensibles, y otra para el resto de sitios en principio es lo más recomendable.

A veces la mejor seguridad es el sentido común. Y phpBB me parece un sistema bastante seguro, mejorable, como todos, pero bastante seguro