[ CONSULTA ] Ha habido una fuga de datos en HTCMania? Tema importante!!

Buenas a todos. Abro este tema porque recientemente un acceso no autorizado a mi cuenta de mega me ha hecho buscar información sobre cómo han podido conseguir mis datos. En este caso resulta que mi email y contraseña de mega eran los mismos que en htcmania ( lo sé error mio), y consultando mi email en páginas de listas de datos recogidos de brechas de seguridad he llegado a lo siguiente:






Al parecer no solo mi email ha sido expuesto, sino también la contraseña y la ip. Según esto la fuga de datos es de enero de este año. No sé si ya se ha hablado de esto y yo me estoy enterando ahora. Podría por favor algún responsable de htcmanía responder?. Ya he cambiado la contraseña del foro por si acaso.

[jorge_kai]

Hola @threatened: buenas tardes.

Vamos a investigar lo que comentas. HTCMania recibe ataques a diario, algo que sucede en practicamente todas las webs de cierto tamaño. Esos ataques pueden obtener, por fuerza bruta, algunos datos de usuarios.

En HTCMania, como sabéis, no almacenamos ningún dato privado sensible de los usuarios. Lo único relevante es una dirección de mail. Por lo tanto, en el hipotético caso de que se haya producido alguno de estos ataques para la obtención de algún dato, poca utilidad puede tener. Es más, las passwords en el foro están encriptadas (sistema md5 doble + salt), lo que hace sumamente complicado la obtención de la credencial completa de acceso. Un mail sin la password no sirve de nada.

Dicho esto, como te he comentado, revisaremos con el equipo técnico lo que indicas, intentando ver cuánto de cierto puede haber en esa información, ya que no siempre todo lo que se publica en internet lo es. En el caso de que en efecto haya existido algún tipo de filtado, os lo comunicaríamos, aunque tal y como he dicho, un correo sin password no sirve de mucho.

En todo caso, el cambio periódico de passwords en este y otras webs es recomendado, siempre. Al igual que disponer de passwords suficientemente seguras (largas, con caracteres no alfanuméricos).

Por último, y sólo por poner en comparativa... webs con información muy relevante como wallapop, yahoo o decathlon han sido hackeadas en los últimos meses, con millones de cuentas expuestas, incluyendo tarjetas de crédito, direcciones de envío, etc, etc. Hablamos de webs comerciales con seguramente centenares de técnicos trabajando a diario en ellas para evitar precisamente eso.

https://www.xatakamovil.com/aplicaci...puedes-hacerlo

https://www.xataka.com/seguridad/el-...-tenia-en-2013

https://www.adslzone.net/2020/02/24/...n-hackeo-9-gb

La precaución siempre es la mejor consejera.

Muchas gracias por responder.
Entonces si la contraseña está cifrada en htcmania, debo suponer que mi contraseña debe estar quizás en otra lista perteneciente a una brecha de seguridad de otro foro o Red social, web etc?...

La verdad que llevo muchos años utilizando las mismas contraseñas en todos sitios. Ya las estoy cambiando y poniendo una diferente para cada cosa, pero es un quebradero de cabeza la verdad.

Solo una duda. Por qué recomiendas no usar contraseñas alfanumérica? Tenía entendido que eran más seguras.

Un saludo!

Mi hermano también esta registrado en el foro, y acabamos de comprobar su email y también le aparece la filtración de datos por parte de htcmania.
Si alguien quiere consultarlo y poner por aquí su resultado este es el enlace con las bases de datos, sólo tenéis que poner el email que queráis consultar y os envian los resultados directamnete a vuestro email con todas las filtraciones de datos que contienen vuestro email y/o contraseña.


https://sec.hpi.de/ilc/search

[javier81mad]

 Cita: Originalmente Escrito por jorge_kai

Un mail sin la password no sirve de nada.

Para spam más que nada O phishing.

 Cita: Originalmente Escrito por jorge_kai

En todo caso, el cambio periódico de passwords en este y otras webs es recomendado, siempre. Al igual que disponer de passwords suficientemente seguras (largas, con caracteres no alfanuméricos).

Como te comenta otro usuario por arriba, ¿no alfanuméricos? ¿O fue un lapsus?

Yo siempre he entendido que lo mejor es precisamente eso, largas y con carácteres alfanuméricos, como por ejemplo:

yU8vS34Hmxn5a0931hBoNkw

[Soul_Ex]

 Cita: Originalmente Escrito por javier81mad

como por ejemplo:

yU8vS34Hmxn5a0931hBoNkw

Justo el Pass que habia puesto yo!! toca cambiarlo

[mocelet]

Si es md5(md5(pass + salt)) y la salt está en la tabla "robada" y es conocida no se tarda mucho en adivinar contraseñas por fuerza bruta con un equipo al efecto si la contraseña no es larga.

md5 está muy obsoleto ya por lo fácil que es calcular el hash (y dos iteraciones solo supone el doble de tiempo). He visto que se pueden comprobar 14.000 millones de hashes por segundo en un rig con unas cuantas gráficas.

Eso, si no he hecho mal los cálculos, significaría que una contraseña alfanumérica de hasta 8 caracteres se podría obtener en 4 o 5 horas (62 caracteres posibles juntando mayúsculas, minúsculas y números) . Y una de 9 en 11 días. Y eso en un equipo, no hablamos ya de rigs en la nube con alta capacidad computacional.

Si tuviera caracteres especiales entonces hablaríamos de unos 92 caracteres posibles, en 4 o 5 días se obtendría cualquier contraseña de hasta 8 caracteres.

Creo que va siendo hora de acostumbrarnos a escribir contraseñas de 12 o 13 caracteres por lo menos, el mínimo de 6 ha quedado muy obsoleto.

[cyrilmadrid]

Ahora Firefox me avisa de que he sido victima de fuga de datos email y contraseña en HTC Mania. Por lo que veo HTC Mania no confirma nada. Y entiendo que no se trata de haber perdido mi contraseña en versión encriptada, sino que la contraseña en si misma

[Aladar]

Buenos días

Solo decir que esta noche han entrado en mi cuenta de MEGA con ip de Qatar con el usuario y contraseña iguales que los de la fuga de HTCMANIA. Cuidado con las cuentas que se escaparon de aquí si las usais para algo serio.

En mi caso tenia unas cuentas basura para servicios y webs sin importancia, los dejaré sin cambiar a ver si acceden a ellos también.