Como posiblemente ya sepáis, se han filtrado 15 GB de datos de usuarios de Patreon, el servicio que utilizamos nosotros mismos para financiar AnaitGames. Esa es la mala noticia; la noticia un poco menos mala es que no se ha filtrado la información de las tarjetas de crédito, así que por ahí no tenéis que tener miedo.
Sí se ha filtrado información sobre cuánto aporta cada usuario a los proyectos, y cuánto dinero ganan realmente los proyectos; esto es, la información que nosotros traducimos en los logros de bronce, plata y oro, básicamente, y la base de datos con cuántas transacciones se aprueban y se deniegan, con los totales mensuales (que en realidad siempre son menores que lo que se refleja en la página de Patreon, o, en el mejor de los casos, iguales). Además, también se han filtrado 2,3 millones de emails, entre ellos seguramente los vuestros (nada de contraseñas, por fortuna), y mensajes privados.
Podéis encontrar más información sobre la filtración en Ars Technica.
Os recomendamos encarecidamente que cambiéis vuestra contraseña de Patreon, si no lo habéis hecho ya. Deberíais haber recibido un email avisándoos, pero creíamos justo enviar el aviso por aquí, por lo que pueda pasar. Por favor, si aún no habéis modificado vuestra contraseña allí hacedlo ahora.
Por lo demás, recordad que Patreon hace posible que AnaitGames siga adelante; esperemos que este bache se quede en una anécdota agria y no llegue a más.
Solo los usuarios registrados pueden comentar - Inicia sesión con tu perfil.
Están jugando con el pan de mucha gente que depende de esos ingresos. Muy triste todo porque la gente puede perder la confianza. Por lo menos avisaron por email «rápido».
Ya recibí el correo de Patreon, gracias por ponerlo también aquí. Hay que ser un malnacido para atacar una web que permite que personas sin medios suficientes saquen adelante sus proyectos. No sé lo que querían conseguir, si minar la confianza de los usuarios de Patreon o simplemente joder a los creadores de los proyectos, pero espero que les estalle en la cara.
Listo, gracias por el aviso chicos.
Yo me logueo en Patreon a través de mi cuenta de Facebook… Recomendáis en ese caso cambiar la contraseña?
@seryuan
No sabría qué decirte; en principio no hace falta porque va por Facebook, pero con estas cosas tan delicadas nos sentimos obligados a recomendarte seguridad total: cambia todas las contraseñas de todo una vez al mes, etc., por lo que pueda pasar.
@chiconuclear
Eso imaginaba que al entrar por FB el tema iria por otro lado… pero te haré caso y hago un «reseteo» de las contraseñas que hace tiempo que no las cambio. Gracias
Lamentablemente, me lo creo. 🙁
Joder como esta el patio. Cambiada la contraseña, a ver si no vuelve a ocurrir estas liadas
Esto de las contraseñas se tiene que acabar. Estamos en el siglo XXI, ¿por qué no pueden funcionar las cosas con una rápida extracción de sangre para comprobar el ADN o con una lectura de retina? Qué pereza cambiar las contraseñas de todo.
Entrando en cosas serias de verdad, habrá llavero compensatorio por el inexpresable trauma sufrido?
Tocar los cojones, simple y llanamente. Debemos darnos cuenta cuanto antes que detrás de estos ataques no hay una voluntad de crítica a la sociedad de consumo o algo parecido, es simple megalomanía
Para los despistados, si usáis siempre la misma contraseña toca cambiarlas todas (gmail, paypal..).
@preacher RSA SecurID es la solución actual.
Bueno señores, entiendo que es una putada pero mejor que lo saquen a la luz para que el agujero de seguridad sea corregido a que se callen como putas, sigan recopilando datos y vendiéndolo a quien sabe dios para que fin. Cuando se hacen leaks de estos hay que pensar que se hacen para pegar un toque a la seguridad de la empresa en cuestión. (no seria la primera vez que se sabe que ya han sido avisados del agujero de seguridad sin querer solucionarlo hasta que han filtrado masivamente sus datos). Si lo que quisieran es usar esos datos en interes propio no habría filtraciones y entonces si que estaríamos como usuarios aun mas desprotegidos.
Al menos asi es como yo lo veo.
Efectivamente, @wasixuu. y especialmente si es la misma contraseña que usais en algo vinculado con Patreon (email, paypal, etc) o de algo que pueda sacarse por vuestro nombre o nick. La mayoría de ataques hoy en día van por este camino: se saca información de web «menos seguras» y se utilizan esas contraseñas para otros sitios.
SUPERFANBOY ON:¿Os acordáis de cuando el PSNGate y lo chapuzas que eran en Sony y qué majos los hackers que señalan estas debilidades en la seguridad? JAJA, qué de risas con aquello… ¿verdad?. Total, aquello eran cuentas para jugar a jueguicos, y esto simplemente se trata de transacciones de dinero… SUPERFANBOY OFF.
Ahora en serio: Sony pidió perdón y regaló juegos. Quiero mi puto llavero YA.
Patreon como plataforma es la polla, pero su infraestructura web me empieza a dar la sensación de que es un poco la mierda.
Hace cosa de año y medio les descubrí una vulnerabilidad muuuuuy chunga, de la que no tenían ni puta, con la que se podía acceder de gratis a los contenidos sólo para Patreons (ni siquiera hacía falta estar logueado en la web).
Y ni soy hacker ni entiendo un carajo de HTML (lo hice todo a base de «Inspeccionar elemento» en Firefox y cortapegando numeritos en la barra de direcciones), así que ni quiero imaginarme lo que debe de ser capaz de hacer con la web alguien que si sepa del tema.
@chiconuclear
No es por ser el listo de turno, pero técnicamente las contraseñas también se han filtrado, solo que van encriptadas (con suficiente tiempo o contraseñas suficientemente fáciles, se podrían sacar). En realidad lo único que nos protege ahora son las estadísticas, que entre 2.3 millones de mails ya sería mala suerte que se pusieran a investigar el tuyo…
Ah, y el último enlace lleva también a la página de ars technica, no sé si sería la intención :3
Profilaxis completada.
Anaitgate
PATREONGATE
@robertpaulson
Damn, es cierto. Bueno, yo llevo todo el día mordiéndome los nudillos y gritando por la ventana, espero que eso os proteja de esta pandilla de hijos de la peor puta. Lo del último link ha sido provocado por los nervios, ya está corregido!
@seryuan @chiconuclear
Según el blog de Patreon donde avisan del hack, dicen lo siguiente respecto a login con Facebook.
Sabía yo que esto de apoyar a Anait era un arma de doble filo…
@aralf
Gracias por la info!
donde quedaron esos hackers con valores?
https://haveibeenpwned.com/ Ahí he descubierto que petaron otro servicio del que no me acordaba siquiera que tenia una cuenta ahí. XD
Y para los que dicen que, ¿por qué no usamos huellas, o adn, o la retina?
http://www.microsiervos.com/archivo/seguridad/huellas-digitales-funcionarios-robadas.html
Ahora ve y cambiaté las huellas o el ADN o la retina, o wait, no puedes.
Las contraseñas no van cifradas, sino con una funcion de hash, y por lo que veo hay usado bcrypt como funcion hash, con un salt aleatorio, así que para encontrar colisiones en diccionarios lo van a tener jodido.
Para vosotros, Patrons.
Menos lloreras y más llaveros