Foro x-plane.es

Foro General => Sugerencias-Tablón anuncios => Mensaje iniciado por: Carlospsi en 22 Octubre, 2017, 14:37:04



Título: X-Plane.org: contraseñas expuestas
Publicado por: Carlospsi en 22 Octubre, 2017, 14:37:04
Hola, desde el org se hace un llamamiento a los usuarios para que se cambie la contraseña ya que algunas (pocas) cuentas se han visto comprometidas, hackeadas vaya. Afecta al nombre de usuario y la contraseña, pero no a la dirección de e-mail.

La cuenta de la tienda no se ha visto comprometida de ninguna manera.

Podeis ver si han usado vuestra cuenta en account>account settings>recently used devices.


Título: Re: X-Plane.org: contraseñas expuestas
Publicado por: grrr05 en 22 Octubre, 2017, 14:45:39
Y ojo que esto es serio y que mucha gente no lo tiene en cuenta, hay muchísima gente que tiende a utilizar la misma contraseña para todo, así que los usuarios afectados deben cambiar TODAS sus contraseñas si este es el caso.
A nadie le importan las contraseñas de de un foro, pero en el 90% de los casos esas mismas contraseñas son las mismas que para las cuentas de mail, de bancos, etc etc etc.

Es por eso que NUNCA hay que utilizar la misma contraseña dos veces. Y el que no tenga memoria, muy facil. Lápiz y papel, que aún estando en 2017 siguen siendo útiles.
También hay varios gestores de contraseñas por ahi para que el usuario no se tenga que acordar. Sinceramente, guardar una contraseña en un medio digital nunca es buena idea, nadie sabe donde pueden ir a parar, tanto por posibles hackers como por los mismos creadores de dichos gestores. Es lo mismo que dejarle las llaves de tu casa a un desconocido para "no perderlas".


Título: Re: X-Plane.org: contraseñas expuestas
Publicado por: aquileo en 22 Octubre, 2017, 16:36:36
Y ojo que esto es serio y que mucha gente no lo tiene en cuenta, hay muchísima gente que tiende a utilizar la misma contraseña para todo, así que los usuarios afectados deben cambiar TODAS sus contraseñas si este es el caso.
A nadie le importan las contraseñas de de un foro, pero en el 90% de los casos esas mismas contraseñas son las mismas que para las cuentas de mail, de bancos, etc etc etc.

Es por eso que NUNCA hay que utilizar la misma contraseña dos veces. Y el que no tenga memoria, muy facil. Lápiz y papel, que aún estando en 2017 siguen siendo útiles.
También hay varios gestores de contraseñas por ahi para que el usuario no se tenga que acordar. Sinceramente, guardar una contraseña en un medio digital nunca es buena idea, nadie sabe donde pueden ir a parar, tanto por posibles hackers como por los mismos creadores de dichos gestores. Es lo mismo que dejarle las llaves de tu casa a un desconocido para \"no perderlas\".


Lo que yo veo que es inadmisible es que no tengan la protección suficiente.
Hay algo que en España es la Ley Orgánica de Protección de Datos y que si es en el extranjero existirá otra.

Está claro que el sufridor será al fin y al cabo el usuario, pero es como si hacemos responsable a un conductor por un accidente provocado porque se le ha salido una rueda cuando iba a 120 km/h y se le dice que no pase de 80. La verdadera responsabilidad es del mecánico y no del conductor.

La solución pasa porque si alguien tiene algún problema, que lo denuncie y pida responsabilidades.


Título: Re: X-Plane.org: contraseñas expuestas
Publicado por: grrr05 en 22 Octubre, 2017, 17:00:17
Según dicen atacaron directamente las cuentas y no la base de datos como muchos creen. Ha sido un ataque de login por fuerza bruta y sólo se vieron afectadas las cuentas con contraseñas sencillas.
Pude ver brevemente la famosa "lista" publicada en el mismo .org y los passwords que salían eran de chiste.





Título: Re: X-Plane.org: contraseñas expuestas
Publicado por: aquileo en 22 Octubre, 2017, 17:55:46
Según dicen atacaron directamente las cuentas y no la base de datos como muchos creen. Ha sido un ataque de login por fuerza bruta y sólo se vieron afectadas las cuentas con contraseñas sencillas.
Pude ver brevemente la famosa \"lista\" publicada en el mismo .org y los passwords que salían eran de chiste.





Más razón para ver que los de x-plane.org lo han hecho mal. Una de las cosas que hay que controlar son las peticiones por IP. Si una IP te hace muchas peticiones de login, lo que tiene que hacer la seguridad del sistema es inhibir la entrada de paquetes de esa IP y hasta de ese MAC.

También reconozco que es muy fácil decirlo y otra es hacerlo pero como dice el dicho: \"Manolete, si no sabes torear para que te metes\", es decir, que si no lo sabes hacer no lo hagas pues al final puedes perjudicar a muchos usuarios.


Título: Re: X-Plane.org: contraseñas expuestas
Publicado por: grrr05 en 22 Octubre, 2017, 19:36:28
Si una IP te hace muchas peticiones de login, lo que tiene que hacer la seguridad del sistema es inhibir la entrada de paquetes de esa IP y hasta de ese MAC.
Tampoco sabes si fué una única IP o millones de máquinas zombi en un ataque global coordinado, saltándose ese tipo de protección de login, aunque ciertamente existen otras vías.
Un ataque a un foro para robar credenciales puede parecer obra de niñatos aburridos pero detras de esas cosas suelen haber mafias millonarias, y sea quien sea se ha hecho con una relación de usuarios y contraseñas que puede explotar en otros sitios donde se mueva dinero por ejemplo. De ahí la importancia de no usar las mismas credenciales en distintos servicios, ni siquiera entre el foro del .org y su propia tienda (por eso las cuentas tanto del foro como de la tienda son totalmente independientes).




Título: Re: X-Plane.org: contraseñas expuestas
Publicado por: zxplane en 23 Octubre, 2017, 21:02:50
Por suerte aquí no hemos tenido esa clase de problemas, no por falta de ataques que los hay y muchos al día, sino porque el sistema de protección es efectivo.

Como se ha dicho, no hay que utilizar NUNCA la misma clave y menos si es para operar en bancos, eso hoy en día es una temeridad, aunque también existe la posibilidad de activar la autenticación de doble factor que añade una barrera más. Utilizar claves diferentes para cada sitio, largas con letras signos y números si es posible, es lo más efectivo. Para esto lo mejor es utilizar un buen gestor de contraseñas que no son caros para todo lo que nos permiten hacer sobre todo en lo que respecta a nuestra seguridad.


Título: Re: X-Plane.org: contraseñas expuestas
Publicado por: Luisf en 25 Octubre, 2017, 11:10:41
He cambiado la contraseña en el org por si acaso, resulta que estoy recibiendo desde entonces 9 ó 10 correos diarios diciendo que han bloqueado mi cuenta por seguridad y sin embargo puedo entrar sin problema, ¿a alguien más le pasa?.


Título: Re: X-Plane.org: contraseñas expuestas
Publicado por: Carlospsi en 25 Octubre, 2017, 13:48:53
Hola Luis, a mi me enviaron un solo correo para confirmar que había cambiado la contraseña y he podido entrar sin problemas en todo momento.


Título: Re: X-Plane.org: contraseñas expuestas
Publicado por: Luisf en 25 Octubre, 2017, 18:55:06
Suerte has tenido, en lo que llevamos de día, ya he recibido 14 mensajes de aviso de cuenta bloqueada, esto es horroroso, deben tener algo mal o les siguen pirateando el sistema.


Título: Re: X-Plane.org: contraseñas expuestas
Publicado por: aquileo en 25 Octubre, 2017, 22:15:01
Suerte has tenido, en lo que llevamos de día, ya he recibido 14 mensajes de aviso de cuenta bloqueada, esto es horroroso, deben tener algo mal o les siguen pirateando el sistema.

Si la seguridad que tienen es mala, ya puedes cambiar 30 veces la contraseña cada día que al final darán con ella.
El problema de la seguridad informática es que debe de ser fuerte de principio a fin. Como haya un punto débil, por ahí te pueden entrar y fastidiar todo el sistema.