URGENTE! De lectura obligatoria.

GKawa · Enero 18, 2023, 10:51:31 PM

Ayer hubo dos accesos al foro, con usuario y password correcto, desde Ucrania. No es joda, los dos de la misma IP de Ucrania. Y son usuarios conocidos que postean regular o semi regularmente, no es un perfil trucho que hayan creado para postear spam.

No tengo idea de como consiguieron los datos. Verifiqué los passwords que usaron y son correctos. Horriblemente inseguros pero no sé si tanto como para haberlos sacado de un diccionario o por fuerza bruta. Y sé que no fue así porque no hubo intentos fallidos, entraron de una.

Hay otro perfil que hackearon, accediendo de diferentes IPs, uno que tiene cero actividad así que directamente fue al muere. Pero me da la pauta que es algo sistemático que va a seguir repitiéndose.

Moraleja:

- Si tienen passwords inseguros, vayan pensando en algo mejor
- Si tiene passwords seguros, considerando lo que pasó, no estaría de más cambiar por algo nuevo.
- Si usan el password de este foro para otros sitios, vayan cambiando ambos y aunque les resulte incómodo que no sea el mismo. En este momento no tengo manera de saber si los hackearon en otro sitio, y de alguna manera los relacionaron con este sitio, o los hackearon acá. Y si no sé si fue acá, tampoco sé como ni como evitarlo.

Todavía estoy revisando logs, va a llevar un rato largo. Les voy avisando de cualquier novedad.

nueces5 · Enero 18, 2023, 11:56:49 PM

gracias por avisar gkawa!

Black Powder .44 · Enero 19, 2023, 12:18:47 AM

Gracis GKawa. Tengo un password distinto al de cualquiera de los otros sitios y/o aplicaciones que uso. Lo voy a mantener.

McGraw · Enero 19, 2023, 08:20:52 AM

Hola
Ya cambié. Tenía una bastante vieja, pero al menos no compartía con otras cosas.

maxrios · Enero 19, 2023, 09:39:08 AM

Cambiando! Gracias por avisar!
Abrazo
Max

leo_b · Enero 19, 2023, 03:03:10 PM

En el foro vecino les están cascoteando el rancho mal con este tema. No se si sera el mismo grupo/tema del ataque.

En este momento tengo 19 post nuevos sin leer con @pump_upp - best crypto pumps on telegram ! es el titulo de los mensajes y parece que te manda a un grupo de Telegram
Al principio pensaron que eran cuentas viejas sin movimiento, pero después le toco a usuarios activos.
Una cagada, voy a cambiar la clave que tengo, es una que puede estar en un diccionario... LPM

Saludos

GKawa · Enero 19, 2023, 03:35:57 PM

Cita de: leo_b en Enero 19, 2023, 03:03:10 PMEn este momento tengo 19 post nuevos sin leer con @pump_upp - best crypto pumps on telegram ! es el titulo de los mensajes y parece que te manda a un grupo de Telegram

Te confirmo. Es el mismo mensaje que se posteó acá. Seguramente también les pusieron el link en el website del perfil.

Cita de: leo_b en Enero 19, 2023, 03:03:10 PMUna cagada, voy a cambiar la clave que tengo, es una que puede estar en un diccionario... LPM

Esa fue mi primera impresión, habiendo visto los passwords que usaron. Pero, ya con el log de tráfico a la vista, no es así. Cuando usan diccionarios tienen que hacer más de un intento. Pegarle de una es casi milagroso. Y la mayoría de los sitios hoy tienen protección contra flood, no te dejan hacer intentos ilimitados.
Los tres accesos de ayer fueron "mosca", vinieron con el par usuario/password ya conocido.

Y me confirmás la segunda impresión, tienen la base de otro sitio. Lo que hicieron fue buscar el mismo nombre de usuario en este foro. Si es así, los que tienen el mismo nombre en los dos foros son los que más probablemente estén expuestos.

De paso, me confirman si CZ243 y Maxpower son usuarios registrados allá?

De momento, tengo bloquedas todas las IP que pude identificar. Aún con el passwords no van a poder entrar. Pero están usando botnets muy extensos y no tengo manera de saber que otras IP pueden usar.

sardo · Enero 19, 2023, 10:45:24 PM

Cita de: leo_b en Enero 19, 2023, 03:03:10 PMEn el foro vecino les están cascoteando el rancho mal con este tema. No se si sera el mismo grupo/tema del ataque.

En este momento tengo 19 post nuevos sin leer con @pump_upp - best crypto pumps on telegram ! es el titulo de los mensajes y parece que te manda a un grupo de Telegram
Al principio pensaron que eran cuentas viejas sin movimiento, pero después le toco a usuarios activos.
Una cagada, voy a cambiar la clave que tengo, es una que puede estar en un diccionario... LPM

Saludos

Yo no quise abrir los link porque me parecían sospechoso,capaz que así te roban las claves ...

GKawa · Enero 20, 2023, 06:58:52 AM

Cita de: sardo en Enero 19, 2023, 10:45:24 PMYo no quise abrir los link porque me parecían sospechoso,capaz que así te roban las claves ...

Vos decís que si no fueran sospechosos los abrirías????

Yo ni me acerco a nada "crypto". Encima es una invitación a grupos de pump-dump. Dudo que sea invitación al inner circle...

Callahan · Enero 20, 2023, 10:35:52 AM

cz243 esta registrado en FA.. pero no postea nada desde Abril 2021

Maxpower también pero solo escribió un mensaje en Julio 2020 y fue expulsado

Saludos

GKawa · Enero 20, 2023, 12:10:08 PM

Cita de: Callahan en Enero 20, 2023, 10:35:52 AMcz243 esta registrado en FA.. pero no postea nada desde Abril 2021
Maxpower también pero solo escribió un mensaje en Julio 2020 y fue expulsado

Gracias.

Me cierra pero todavía no completamente. Daría la impresión que los hackearon a ellos y entraron acá con las credenciales que coincidían. Por eso ellos tuvieron tantos eventos y nosotros solo unos pocos.
No estamos exentos. Traten de usar passwords diferentes y suban un toque el nivel de seguridad. La recomendación real es NO USEN EL MISMO PASSWORD EN TODOS LADOS Y PASEN A DEFCON 5! Pero sé que estoy tratando con humanos y tengo que bajar mis expectativas

De momento, parece que estamos bien. No volvieron a postear, no ví otros intentos de acceso. No es razón para bajar la guardia, presten atención a los passwords y mantengan las direcciones de email actualizadas.

maxrios · Enero 20, 2023, 07:30:42 PM

Cita de: GKawa en Enero 20, 2023, 12:10:08 PMDEFCON 5!

Contraseña por defecto 5?

Abraaazo!
Max

MarcosRodriguez · Enero 21, 2023, 08:52:04 AM

Cita de: GKawa en Enero 20, 2023, 12:10:08 PMGracias.

Me cierra pero todavía no completamente. Daría la impresión que los hackearon a ellos y entraron acá con las credenciales que coincidían. Por eso ellos tuvieron tantos eventos y nosotros solo unos pocos.
No estamos exentos. Traten de usar passwords diferentes y suban un toque el nivel de seguridad. La recomendación real es NO USEN EL MISMO PASSWORD EN TODOS LADOS Y PASEN A DEFCON 5! Pero sé que estoy tratando con humanos y tengo que bajar mis expectativas

De momento, parece que estamos bien. No volvieron a postear, no ví otros intentos de acceso. No es razón para bajar la guardia, presten atención a los passwords y mantengan las direcciones de email actualizadas.

Mira, que seyo, alla a mi no me hackearon el usuario
Me paso aca nomas!
Es raro, pero no poco frecuente, se ve que hay demasiada gente al pedo en el mundo (no solo en nuestro pais) y se les da por hiunchar los huevos

leo_b · Enero 21, 2023, 09:06:51 AM

Me hizo reír el "pasen a DEFCON 5" jajaja
Gracias Gabriel por ocuparte y preocuparte por el foro.

Abrazo

Enviado desde mi SM-G975F mediante Tapatalk

GKawa · Enero 21, 2023, 09:34:28 AM

Cita de: MarcosRodriguez en Enero 21, 2023, 08:52:04 AMMira, que seyo, alla a mi no me hackearon el usuario
Me paso aca nomas!

Ojo que todo es posible. Es muy complicado diagnosticar nuestro sitio después del hecho. Más diagnosticar el otro donde no tengo acceso. Me estoy guiando por la evidencia. Allá hubo más eventos que acá y acá veo que los accesos fueron muy directos. O sea que no estuvieron tanteando, sabían que ese user/pass era posta. Y entraron en un perfil a mirar sin tocar nada, no postearon. Así que sin ver no te puedo decir si allá no te hicieron lo mismo.

Cita de: MarcosRodriguez en Enero 21, 2023, 08:52:04 AMEs raro, pero no poco frecuente, se ve que hay demasiada gente al pedo en el mundo (no solo en nuestro pais) y se les da por hiunchar los huevos

Eso sin duda. Entre otras cosas, estuve viendo que hoy tenemos más tráfico de bots que de humanos. Algo indeseable aunque no necesariamente peligroso porque la mayoría son indexadores como Google y Bing. Pero en el medio cae tráfico de tipos tratando de encontrarle la vuelta.
Mi preocupación es, si el hackeo fue acá, cómo hicieron y cómo los paro. Si fue allá, no hay nada que pueda hacer más que cortar las conexiones entre sitios, usuarios con el mismo user/pass. Por eso la recomendación.

Cita de: leo_b en Enero 21, 2023, 09:06:51 AMMe hizo reír el "pasen a DEFCON 5" jajaja

Sí. Capaz que me excedí con la recomendación

Cita de: maxrios en Enero 20, 2023, 07:30:42 PMContraseña por defecto 5?

Y... hablando de contraseñas... 5 es más seguro que "cuatro"...

(chiste privado...)

Hablando en serio. Otra cosa que ví en este evento, que no me sorprende, es que muchos están usando contraseñas muy pero muy flojas. No los culpo, yo lo he hecho también. Cuando usás un sitio de baja seguridad para que te vas a complicar la vida? Aunque seguramente muchos no se quieren complicar la vida en ningún lado. La realidad es que estos tipos están todo el día tratando de hacerse de recursos, ese es su trabajo, y una cuenta en un foro es un recurso. Para ellos, porque pueden publicitar, aunque sea la audiencia equivocada, y aumentar la presencia en la web, Google registra más enlaces a sus sitios.
Entonces, hay que ponerse media pila y subir el nivel de los passwords. No quise imponer una política dura de passwords ni habilitar doble autenticación, porque sé que es un garrón. Aprovechen las funciones de Google para memorizar contraseñas, se las lleva del desktop al celular si quieren. No le confían a Google? prueben Firefox. No les digo poner las del banco, pero hasta confiarles las del foro creo que es razonable.

panda · Enero 22, 2023, 04:42:38 AM

bueno lo del ip, es medio irrelevante
quisas fue alguien desde aquí, argentina

tenes que tener en cuenta, que es fácil enmascarar una ip
estando en argentina, podes hacer figurar una ip falsa de ponele
estados unidos, mexico o canada

no necesariamente tiene que estar esa persona físicamente en ucrania

GKawa · Enero 22, 2023, 07:51:33 AM

Cita de: panda en Enero 22, 2023, 04:42:38 AMtenes que tener en cuenta, que es fácil enmascarar una ip

Mmmm... sí... ni... no...

El tema de la IP acá es que los accesos fueron de usuarios conocidos. Al menos uno es histórico acá y muchos lo conocen personalmente y de esa gente conozco a algunos personalmente. O sea que tengo evidencia concreta que no puede haber sido él desde Ucrania.

Dónde está el verdadero culpable? Ni idea, ni me importa porque no me hace diferencia pero es cierto que la IP no sirve de referencia.

Estoy de acuerdo que es fácil ir a contratarte un servicio de VPN o un hosting y rutearte. Pero ellos no hacen eso. Los hits que tenemos (muchos) son de bots, máquinas que están infiltradas sin que la gente sepa. Ocasionalmente hay humanos tanteando para sacar los pasos necesarios para lo que quieren hacer. Le pasan el procedimiento a un botnet y ya a aprtir de ahí te pueden pegar de cualquier lado.

Afortunadamente, y no sé porqué, no hay una cantidad significante de bots de este lado. Detecté una vez uno con IP en Argentina. Rusia y Ucrania están en el top de nuestra lista, bots que nos pegan, pero hay puchitos sueltos de países de Europa, Africa y el lejano Oriente.

Lamentablemente, sin acceso al software (que es un freeware) ni al router (que es del servicio de hosting), no hay muchas buenas estrategías para defenderse. En este momento estoy haciendo una de las cosas más ineficientes que hay, usar el .htaccess para filtrar IPs y a los buscadores que no son del mainstream (Yandex, Baidu, etc.). Cada tanto saco una lista del log de accesos y agrego los bloques completos al bloqueo. Como el foro tiene poco tráfico, el impacto de performance es muy leve. Y, aunque estoy convirtiendo al foro en invisible, eso pasa en lugares donde sería muy pero muy raro tener un miembro del foro. Seguimos estando firmes en Google y Bing.

Como sacaste el tema y vas a entender más de como es la situación en el backend, aproveché para hacer algo de catarsis técnica

Estamos bien, no es una tragedia ni algo que hay que estar préstandole atención al minuto. Es poca dedicación y funciona. Pero si hay mejores ideas, yo escucho.

panda · Enero 22, 2023, 11:08:22 PM

mil veces seguro estas mas en el tema que yo
hace 20 mil años que no agarro una pc
asi que me imagino que lo que hagas esta bien

en mi caso,

siempre trato de tener la bandeja de entrada y salida de mensajes vacía
por si me afanan el usuario, no me lean los mensajes privados
por una simple razón de intimidad

porque depues todos lo que escribimos es publico
asi que mucha mas info no nos pueden quitar
me imagino

nap · Febrero 07, 2023, 03:16:27 PM

Quizá tenga que ver con el hackeo de LastPass en diciembre -33 millones de usuarios- los hackers estarán vendiendo las passwords a las que hayan podido acceder y quizá algunos en este foro lo usaban. (laspass es una utilidad para almacenar todas tus passwords sin tener que teclearlas)

https://www.kiplinger.com/personal-finance/lastpass-hack

Trigger Happy · Febrero 07, 2023, 11:38:10 PM

Por lo que entendí de ese artículo, se robaron los backups de contraseñas. Pero para tener acceso a las mismas, necesitarían las contraseñas maestras, o intentar averiguarla probando... Lo que puede llevarles un buen tiempo.

Eso no quita que en cualquier momento me pongo a cambiar la contraseña de las principales páginas que me preocupen. Email, bancos, y el foro del tirador...

Debo tener más de 200 o 300 contraseñas almacenadas, probablemente un 60-70 % sin usar hace bastante...
No repito una contraseña en dos páginas web...

GKawa · Febrero 08, 2023, 07:27:41 AM

Tengo mis serias dudas que alguno de los ratas de este foro o de FA hayan pagado por el servicio de LastPass

Aprovechando que reflotaron el tema... va sermón!

Si no cambiaron el password después del incidente Enero, háganlo. Y traten de subir un poco el nivel. Mayúsculas, minúsculas, números, símbolos. Un password plano es más fácil de decodificar que uno complejo. Depende mucho de donde sacan la información, pero como no sabemos de donde la sacaron es mejor cubrir todos los ángulos. Fundamental, que no se repita con la de otros sitios. Yo sé que esta última regla es difícil. Si realmente se les complica, usen la del foro (baja seguridad porque el contenido del foro no tiene valor monetario) para otros sitios de valor equivalente. No para el email que tienen registrado en el foro!!!! Ni para sitios de mayor seguridad, banco, porno prepago, etc.

Sugerencias simples. El foro no tiene info personal detallada. Nombres de esposa, hijos, padres, sirven. Frases de poemas y canciones que son fáciles de recordar. Basta con las dos primeras palabras, no se pongan la canción completa. En cualquier lado les van a decir que no hagan ésto. Acá es admisible, este no es un sitio de alto valor y alta seguridad. Acá nos arreglamos con poca complejidad.

Si usan sus propios dispositivos, dejen que Google o Firefox les guarde las contraseñas DEL FORO!!! No las del banco. O usen la famosa libreta negra. Nada ha superado a la tecnología del papel y el lápiz. No tiene porque ser negra...

Último regaño y los dejo en paz. Verifiquen la dirección de email registrada en el foro. Es la única manera fácil de recuperar la cuenta si se olvidan el password. Hay mucha gente que está volviendo y se queda afuera por esa razón.

CitarVieja, me decís cuál es el PIN del banco
Yo no sé tu PIN
Está ahí en la libreta negra
Qué libreta negra?
La de mi escritorio
Acá no hay libreta negra
Sí, ahí a la derecha junto al lapicero
Esa libreta es verde!!
Bueno... se llama libreta negra...
No dice PIN en ningún lado
No. El que dice "robot de la silla sin respaldo"

No pude decir BANCO. Es inseguro
No lo encuentro. Tu letra es espantosa

Estás ahí?

Si salís, me sacás 5000 del cajero?

* Chat basado en una historia real

condicionuno · Febrero 08, 2023, 10:02:59 AM

Como buen alumno, cambié mi contraseña, que es exclusiva del foro.
Y mi libreta negra... es negra!

GKawa · Febrero 08, 2023, 11:35:37 AM

Cita de: condicionuno en Febrero 08, 2023, 10:23:11 AMjajaja! La pregunta sería... quien NO TIENE alguna/todas esas cuentas?

No hablo porque yo no soy un caso típico

Pero hablando en serio, no se dan una idea lo fácil que es ir atando las hilachas que uno deja por ahí. Y una foto como esa, así de trivial como parece, ahorra unas cuantas horas de trabajo.

condicionuno · Febrero 08, 2023, 12:29:46 PM

Cita de: GKawa en Febrero 08, 2023, 11:35:37 AMNo hablo porque yo no soy un caso típico

Pero hablando en serio, no se dan una idea lo fácil que es ir atando las hilachas que uno deja por ahí. Y una foto como esa, así de trivial como parece, ahorra unas cuantas horas de trabajo.

Maldita sea, ya la borro. Borré la que "citaste" también.

Trigger Happy · Febrero 08, 2023, 12:58:06 PM

Me perdí de algo?
La primera vez que me dió un mensaje parecido pensé que Gabriel me había quedado afuera de algunas partes del foro, pero resulta que es porque borran los mensajes... :-p

Cita de: GKawa en Febrero 08, 2023, 07:27:41 AMTengo mis serias dudas que alguno de los ratas de este foro o de FA hayan pagado por el servicio de LastPass

El servicio de LastPass es gratuito... parcialmente.

Antes tenía menos limitantes y podías usarlo tanto en la PC como en la App. Hace un par de años por lo menos, nos dieron a elegir dónde queríamos seguir usandola.
Yo elegí PC y empecé a usar otro servicio a la par, MYKI, pero se vendió creo que a fines de 2021 y nos dejó con el c... al aire a los usuarios. Así que sigo con LastPass gratuito (es cara la opción de pago).

Igual desde un celular se puede entrar a la página de LastPass, y si bien la página se ve muy mal y es incómodo buscar algo ahí (supongo que a propósito), se puede. Eso sí, cada vez que usas un dispositivo nuevo te manda un mail con un link de confirmación.