entrar registro

Parece que por la captura de pantalla @meneame_net ha sufrido un #hackeo y #leak de datos

51 visitas
|
votos: 18 · 2
|
karma: 116
|

Por los datos que se aprecian, han quedado expuestos algunos datos personales.

Por lo que comenta el #dealer lo deja bastante barato.

Meneame confirma el ataque blog.meneame.net/2022/10/03/ataque-y-extraccion-de-datos-en-meneame-an

comentarios (33)
  1. corruppcion
    Me acabo de dar de baja en Meneame y me vengo por aquí, a ver qué tal.
    12    k 183
  2. --970--
    #8 Y espiar! Un grupo de exiliados de Meneame tenemos un grupo de telegram, y uno de nosotros invitó a Patchgirl en su día. Nunca se mete a leer el grupo, pero hoy está leyendo cada mensaje que ponemos segundos después de haberlo escrito. Debe pensar que somos nosotros o algo así (lo cual es absurdo porque somos gente sin la menor idea de informática y aparte buenas personas).
    10    k 172
  3. daydream
    Primero decían en Menéame que el robo de datos era un invento, atacando a la fuente de la noticia. Cuando vieron que las evidencias eran abrumadoras, dijeron que eran pocos usuarios los afectados y la solución era...¡tachán! cambiar la contraseña. Si es que son unos genios.
    6    k 139
  4. --970--
    5    k 114
  5. helisan
    a perro flaco todo son pulgas :-|
    5    k 113
  6. fermin
    #15 Por un lado, si te refieres a ver código fuente actual de mñm, pues no se puede ver porque desde 2019 no publican nada.
    Por otro lado, como usamos parte del código antiguo de mñm, se supone que deberíamos estar preocupados en mdtz... pero yo creo que no deberíamos tener miedo, ya que parece que en mñm desarrollaron una nueva API para la versión "no rancia", y entiendo yo que han entrado por ahí para el leak de datos. En nuestro caso, si no hackearon mñm con el código antiguo, pues deberíamos estar un poco más tranquilos, ya que en lo que respecta al código que evita las inyecciones de código SQL, etc, sigue siendo el mismo, y parece ser bastante seguro por el momento.

    Dicho esto, ya sabéis que la seguridad total no existe, y siempre existe la posibilidad de que alguien nos hackee, por supuesto. Pero al menos por mi parte, he revisado las partes de código referentes a la DB y parecen seguras; ahí Gallir hizo un buen trabajo, IMHO.
    5    k 113
  7. --970--
    #12 Bienvenido :-) Espero que te guste, en las últimas semanas hemos crecido bastante y esto empieza a tener vida de verdad!
    5    k 105
  8. function
    Gracias, Menéame, por expulsarme sin previo aviso y sin motivo, así ahora no pueden robaros mis datos.
    4    k 100
  9. --972--
    #7 por cierto, ¿se sabe cómo entraron? Tal vez valga la pena echarle un ojo al código fuente a ver cómo está el asunto.
    4    k 94
  10. omoloc
    #5 espérate a ver si los han borrado
    4    k 93
  11. GrofTheGuard
    dejar la seguridad en manos de novatos es lo mismo que dejar el desarrollo en manos de novatos. Está bien que se curtan y que mejoren pero en algún punto tiene que haber alguien que sepa lo que hace. Entre otras, para evitar estas cosas
    4    k 85
  12. NoSoyElTercioEspañol
    A ver si es el becario senior que se les han inflado las canosas pelotas
    4    k 84
  13. fermin
    #0 le puse una fotico
    3    k 80
  14. --972--
    #16 Así es, hace años que cerraron el código a todo lo nuevo. Lo de que el desarrollo era interno permitía eso (no tenían contribuciones de terceros parece ser). Pero en cualquier caso me refería al código de mdtz por el código compartido, aunque si ya le has echado un ojo al código SQL creo que estamos mejor entonces. Es posible que la hayan pifiado en el código nuevo como apuntas, viendo el desastre visible que tienen en producción. ¡Gracias!
    3    k 74
  15. fermin
    #18 La web nuestra, al igual que la versión "rancia" (antigua) de mñm, no usa API directamente para hacer el renderizado; éste se realiza en el servidor directamente. Además, todos los datos que se reciben de usuario y van a parar en alguna "query" a la DB, pasan por una capa de "limpiado" (una especie de ORM) para evitar inyecciones SQL y estas cosas.

    Yo creo (ojo, creo) que el nuevo becario no debió tener en cuenta este tipo de cosas cuando implementó la nueva API. También puede ser que hayan entrado de otra forma... porque por la información que corre hasta ahora no se puede saber cómo lo han hecho ni qué tipo de ataque han usado... que no tendría obligatoriamente que ser el de inyección SQL.

    Bueno, a ver si podemos enterarnos de algo más en breve...
    3    k 74
  16. NoSoyElTercioEspañol
    maravilloso, voy pillando palomitas, pero espero que se hayan puesto mascarillas porque hurgar en esa cloaca naranja...hay que tener valor.
    3    k 67
  17. omoloc
    #25 #9 ¿Estáis seguro de que los abogados son personas? :troll:
    3    k 66
  18. daydream
    #9 Se nota nerviosismo en el ambiente... :-D
    2    k 59
  19. fermin
    #20 Todo es posible... aunque mucho me temo que no nos vamos a enterar de lo ocurrido :-(
    2    k 55
  20. fermin
    #20 Cuando cayó hace unos 10 años mñm por un problema con los servidores de AWS, recuerdo que Gallir escribió en su blog un extenso artículo explicando todo lo ocurrido con el más mínimo detalle. Hoy esto dudo mucho que ocurra.
    2    k 55
  21. --972--
    #20 --972--
     *
    #19 Que a lo mejor hasta los servidores en AWS estaban abiertos de patas con el sistema operativo que venía en ese momento sin actualizar dependencias del sistema o de los scripts...
    2    k 54
  22.  #10  » ver comentario
  23. Curr0
    #9 ¿Estás seguro de que los abogados son buenas personas? :->
    2    k 47
  24. omoloc
    #12 Bienvenido.
    2    k 46
  25. function
    #3 ¿Y si al que contrataron es un topo?
    1    k 40
  26. inconformistadesdeel67
    #14 Sobre todo cuando el perro cree que está gordo. :shit:
    1    k 40
  27. --970--
    #27 Algunos casi lo somos 8-D
    1    k 39
  28. omoloc
    #28 "casi" :troll:
    1    k 39
  29. roy
    #9 Habla por ti... Por ambas cosas xD
    1    k 27
  30. corruppcion
    #13 Gracias!
    1    k 27
  31. recauchutado
    Yo me pregunto si seguirían almacenados los datos de las cuentas antiguas eliminadas.
    1    k 26
  32. --970--
    #30 Mándame un Mp con tu telegram y pido que te inviten. También puedes entrar directamente en el telegram de mediatize, donde estamos básicamente los mismos maleantes que en el otro, dejando aparte a Patchgirl y zurditorium. El enlace del telegram de mediatize es t.me/mediatize_info
    0    k 20
  33. chicotrinca
    #9 ese grupo me interesa... :-D
    0    k 6
comentarios cerrados
suscripciones por RSS
ayuda
+mediatize
estadísticas
mediatize
mediatize