Amenadiel

Estimados Usuarios:

Los que estaban despiertos pudieron ver como durante la madrugada, a eso de las 4:30 a.m. uno o más hackers publicaron un listado de usuarios y contraseñas del sitio, anunciando que liberarían la totalidad de éstas en el mediano plazo.

El SRE (Security Response Team) de CHW sonó las alarmas y todos salimos del cálido lecho para enfrentar el problema. Se optó por cambiar todas las contraseñas y paralelamente un golpe de suerte nos permitió dar con el script "infectado" (archivo 1) que registraba el nombre de usuario y clave en un archivo de texto (archivo 2) disimulado como una imagen.

Ahora bien, durante la semana se dio por terminada la optimización de rendimiento del Chileserver y dio inicio una asesoría de seguridad siempre provista por Integralinux, quienes concluyeron a primera vista que teníamos permisos demasiado permisivos (suena redundante pero es lo que hay). Se procedió a cambiarlos a un estado medianamente restrictivo pero, ante la imposibilidad de verificar el contenido de los archivos uno por uno, se nos quedó un script que hacía lo indicado en el párrafo anterior (archivo 1). Entre el 5 de octubre y la madrugada de anoche lograron capturar aproximadamente 3900 contraseñas.(el listado de usuarios, aquí)

¿Ahora, cómo llegó ese script ahí? Aparentemente explotaron la configuración insegura de los permisos que teníamos hasta hace una semana para subir otra imagen (archivo 3) que contenía un shell que les permitió modificar el archivo 1. Sólo estamos suponiendo, pero por si las moscas dejamos los permisos en un estado extra paranoico de modo que ni nosotros podemos cambiar gran cosa ahora. Puede que esto le reste funcionalidades al sitio y lo lamentamos, pero hasta que decidamos un curso de acción probablemente la interacción con firmas, avatares y otras formas de subir archivos estará mutilada.

Pasando al plano personal, aunque me gustaría pensar que la emergencia fue controlada, que el agujero fue tapiado y no entrarán por ahí de nuevo, que las claves filtradas ya no sirven pues se cambiaron masivamente, que pasamos la noche en vela y todo lo que quieran, claramente me siento violado y también avergonzado porque un sitio tech debiera ser el último lugar en donde temieran por la seguridad de sus claves. Lamentablemente ser buenos reporteros y revisores de HW no nos hace expertos en seguridad y ello ha quedado en evidencia de la peor manera posible.

Doy en pensar que tenemos el deber de custodiar su información con todo nuestro ahínco, pero no hay ninguna configuración completamente segura. Llegados al extremo, ni la mejor configuración de servidor puede impedir por ejemplo que un grupo de terroristas se meta en mi casa y encañone a mi mujer para conseguir la clave. Doy gracias porque este señor ladrón no atentó contra mi familia, doy gracias porque pudiendo borrar el sitio completo no lo hizo, y si quería enseñarnos una falla de seguridad tal vez eligió un manera algo exhibicionista de hacerlo pero la lección fue aprendida y aunque duele se agradece.

Me despido disculpándome de nuevo, me espera un día de mucho trabajo intentando reparar el daño y restableciendo las funcionalidades que se recortaron. Esperaba que fuera un domingo familiar celebrando el cumpleaños de mi padre pero esto es la televisión en vivo, nunca se sabe adonde nos pillará el capítulo siguiente.

__________________

Inscríbete para castigar el maltrato animal

esteban17

se agradece el comunicado y la explicacion. De todas maneras no me complica tanto que se sepan mi contraseña de CHW ya que solo la uso aca y todas mis otras contraseñas son distintas.

saludos

__________________
"Maxima efectividad con el mínimo esfuerzo"
"Hay que ceder para vencer"

Si quieren aprender o practicar Judo, contactenme, es gratuito.

MI FEEDBACK
http://www.chw.net/foro/esteban17-co...ml#post2234022

CristianUlCopt

Espero que los users que tengan la misma pass de aca con la de su mail no se vean afectados :S, cambie de inmediato, y ya aprendi la leccion, no ocupar la misma pass del mail en el foro XD

Porque hay gente que ocupaba la misma pass para ambas cosas, me incluyo

__________________
Brigada S.O.S

KDash

que bueno que esta controlado el asunto. de todas maneras insisto, deverian postear quienes fueron los usuarios que salieron entre los 1600 a mi me interesa saber si yo estube hay o no. = uso distintas password pero nunca esta demas saber si estube hay o no.
salu2

__________________

Otros: Chenming 602 Black c/ Vent., Accesorios de Modding Varios

pa que achicaron el tamaño maximo de firmas? se ve terrible mal la mia

Mi Feedback:
http://www.chw.net/foro/feedback-f12...comprador.html

Sebadk

yo fui afectado, pero mas que nada me interesa saber si la clave fue publicada, ya que utilizo la misma pwd para otro foro, la ocupo solamente para registrarme, pero quiero saber si la debo cambiar.

__________________
Anger Is a Gift

Daniel San

gracias por la explicación
yo me enteré en la mañana cuando abri mi correo
no se si mi clave apareció o no, pero no tiene importancia, solo se cambia y listo

__________________

InG

KDash, si estas en la lista

CristianUlCopt

En post donde hablaban del hackeo salia un link con estos 3 datos de los users: el nick, correo y pass.

Por suerte no estaba, pero siempre es mejor pensar en el peor de los casos, cambiar de pass en foros/mails que ocupaba la misma pass de aca, para ahorrar problemas.

-------------------------
como decia Sheldon de Big bang Theory, 123456 no es una contraseña muy segura

__________________
Brigada S.O.S

wat0n

a mi tb me gustaria que publicaran una lista con los users que tuvieron sus contraseñas capturadas... si es que es posible

__________________

Mythmaster

Se agradece el rapido tiempo de respuesta, recién logre reestablecer la contraseña y estoy en proceso de cambiar otras dado que era la misma en varios lados, solo por seguridad. En mi caso (por dejado) tenía registrado aca un mail que ya no ocupo y fue ahi donde se me envio el correo, menos mal que aun funcionaba, pero igual me imagino que a varios les pasara algo similar.

Bueno, que bien que el problema esta controlado y Amenadiel todos sabemos que te matas por el sitio, una lastima que por un par de ciberdelincuentes que podrian usar esa inteligencia con mejores fines tengas que sacrificar tu domingo, pero estas cosas pasan y los sitios completamenten seguros NO EXISTEN asi que es normal que muchos quieran perjudicar a una comunidad tan grandiosa como lo es CHW.

Suerte en durante el día

Saludos!

__________________

KDash

asi cache, filo ese correo lo tengo mas botao, y la pass ya ta cambiada jejejeje

__________________

Otros: Chenming 602 Black c/ Vent., Accesorios de Modding Varios

pa que achicaron el tamaño maximo de firmas? se ve terrible mal la mia

Mi Feedback:
http://www.chw.net/foro/feedback-f12...comprador.html

Amenadiel

Bien, me parece que tienen derecho.

Ahí les dejo la lista:
http://www.chw.net/filtrados.txt

__________________

Inscríbete para castigar el maltrato animal

LouderThanBombs

Una lastima lo que paso, pero es entendible en las circunstancias dadas...
Gracias por informar la situación.

__________________
Saludos!.

lord_cristian

uta no recuerdo mi mail y es que no lo ocupo hace años, la contraseña del mail difícilmente la recuerde también..ahora que diantres hago

este soy yo
Foros de CHW - Ver perfil: =necromancer=

por lo visto no estoy en la lista, así que si pueden reponer mi contraseña please

ranger

Bueno que sirva de leccion para no tener contraseñas tan simples y utilizar la misma en e-mail/foros/facebook/etc.

__________________

Ejecutor Hanzo

me autoquoteo:

Cuando me llego el mail, pense que era de esas tipicas paginas de pseudo bancos que tienes que ingresar tu antigua contraseña y la nueva... pero resulto ser cierto :p.

__________________

“La programación es una carrera entre ingenieros tratando de hacer mejores y más grandes programas resistentes a idiotas... el universo esta haciendo mejores y grandes idiotas. Por ahora gana el universo”.

Archer++

3911 filtrados, eso quiere decir que quedan 2285 contraseñas sin revelar. Es importante que quienes estén en dicha lista, y utilicen las contraseñas en otros sitios, las cambien. Por lo que no sería mala idea comunicar a dichos usuarios que fueron vulnerados.

__________________
Grupos: Linuxeros - Last.fm - Zippy

Visita Mi blog de temas ñoños, y mi otro blog de videos musicales

Ragnarokun

no creo que sea tan asi la cosa porque mirando muy por encima veo moderadores y personal alto del staff..

al parecer no estoy en la lista pero de todas maneras cambie pass para evitar cualquier trauma

__________________
AMD64 winchie@2538Mhz 1.68v
DFI lanparty ultra-D bios 0604 corregida la temp a +6º
XFX 6600gt@600/1285
RL caserita para los antes mencionados
2x512mb twinmos no sp
OCZ modstream 450W
hitachi 160Gb sata II /maxtor 120Gb IDE/hitachi 320GB sata II
torre delux terriblemente pequeña y un poco modeada
sb live@audigy+Logitech x-540=
Maximo poder

ranger