Brevenotas Vulnerabilidad en sistema claveunica permitió ingreso de desconocidos a la base de datos

En una noticia en desarrollo, información aportada por el medio "El mostrador" indica que nuestros datos fueron robados. En particular se trata de la base de datos de clave unica, esa que te permite desde sacar tu permiso para movilizarte en cuarentena hasta pedir tu certificado de deudas.

La recomendación como en caso de cualquier vulneración de claves, es proceder a cambiarla. Como siempre rásquense con sus propias uñas.

1602679985700.png

mail publicado por el mostrador donde se solicita a funcionarios cambiar su clave "en el marco del mes de ciberseguridad"


El escuadrón de Capa9 indica que hace un tiempo alguien en twitter había reportado una falla. Será la misma


Fuente: El mostrador
 

Archivo adjunto

  • 1602680110129.png
    1602680110129.png
    194,2 KB · Visitas: 268

Gran_Maestre

Copuchento
Se incorporó
1 Octubre 2005
Mensajes
1.212
hay cagasos y cagasos, le pregunte a un ql que trabajo hace unos años por una contraseña que esta en un archivo functions.txt y me lo confirmo... no quiero ni imaginar como deben estar todos los qls que se los pasearon magistralmente
 

MELERIX

Fanático
Se incorporó
30 Diciembre 2013
Mensajes
1.550
que habrá sido la vulnerabilidad en este caso ? consecuencias de usar software obsoleto ? seguridad de servicios web mal configurada ?
 
Última modificación:

wurrzag

Ciclista Jipi
Se incorporó
30 Mayo 2006
Mensajes
8.936
¿recuerdan al wn del twitter que quería reportar la vulnerabilidad?

A ese wn lo van a cargar.
 

WINTENDOX

MESIAS
Se incorporó
4 Julio 2009
Mensajes
2.231
super mula, una base de datos revieja ademas se guarda en otro server :santo, es solo una cortina de humo para lo que se viene :uy
 

senbe

Asesino de ferrules.
Miembro del Equipo
MOD
Se incorporó
25 Julio 2006
Mensajes
12.048
¿A qué hora es el punto de prensa de Bellolio? Estoy deprimido y necesito un poco de felicidad.

🤗
 

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.402
por lo que se puede observar, el cifrado de las contraseñas es en base a SHA1

 

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.872
Aer chanta la moto, yo no soy un entendido en esos temas así que disculpen si mi pregunta es muy cándida.

¿De alguna forma quienes obtuvieron el listado de contraseñas "encriptadas" pudieron "desencriptarlas" y obtener las contraseñas originales?
 

K3rnelpanic

non serviam
Miembro del Equipo
MOD
Se incorporó
1 Octubre 2007
Mensajes
6.065
Aer chanta la moto, yo no soy un entendido en esos temas así que disculpen si mi pregunta es muy cándida.

¿De alguna forma quienes obtuvieron el listado de contraseñas "encriptadas" pudieron "desencriptarlas" y obtener las contraseñas originales?
No. El Cereal solo probó un hash conocido (123456 convertido usando sha1 como algoritmo de cifrado) y buscó ese valor en las contraseñas y tokens. Lo que se hace normalmente es tener una gpu haciendo el cálculo de hash hasta que uno calza con los que se tienen, así se rompen.
 

ricm

Se incorporó
28 Agosto 2005
Mensajes
7.589
Cuando he usado funciones nativas de encriptado de password en php, un mismo password me queda con distintos hashes. Pq aquí no pasa lo mismo?
 

BalroG

Te lo dije
Se incorporó
2 Septiembre 2003
Mensajes
5.154
Aer chanta la moto, yo no soy un entendido en esos temas así que disculpen si mi pregunta es muy cándida.

¿De alguna forma quienes obtuvieron el listado de contraseñas "encriptadas" pudieron "desencriptarlas" y obtener las contraseñas originales?


no, pero al tener contraseñas simples y sin salt la wea hay diccionarios ya listos de esa contrasña poder de computo de un tetris noventero para dar con un resultado
 

MELERIX

Fanático
Se incorporó
30 Diciembre 2013
Mensajes
1.550
Aer chanta la moto, yo no soy un entendido en esos temas así que disculpen si mi pregunta es muy cándida.

¿De alguna forma quienes obtuvieron el listado de contraseñas "encriptadas" pudieron "desencriptarlas" y obtener las contraseñas originales?

si están cifradas con SHA1 y son claves simples o cosas comunes, se pueden descifrar usando Tablas Arcoiris y por fuerza bruta.
 

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.872
si están cifradas con SHA1 y son claves simples o cosas comunes, se pueden descifrar usando Tablas Arcoiris y por fuerza bruta.

¿o sea que estamos hasta el loly perrito? ¿o no es tan así?
 

MELERIX

Fanático
Se incorporó
30 Diciembre 2013
Mensajes
1.550
¿o sea que estamos hasta el loly perrito? ¿o no es tan así?

depende :p

por lo general el sistema de clave única no da claves comunes, pero si el usuario luego la cambio y puso algo común/simple entonces se vuelve vulnerable (aunque se supone que el sistema no permite que el usuario ponga claves comunes/simples), pero lo mas grave ya seria si la clave maestra de cifrado fuese común/simple, entonces si alguien obtiene eso, todas las claves serán vulnerables, aunque sean claves complejas.
 

clusten

ADMIN
Miembro del Equipo
ADMIN
Se incorporó
1 Julio 2007
Mensajes
6.239
por lo general el sistema de clave única no da claves comunes, pero si el usuario luego la cambio y puso algo común/simple entonces se vuelve vulnerable (aunque se supone que el sistema no permite que el usuario ponga claves comunes/simples), pero lo mas grave ya seria si la clave maestra de cifrado fuese común/simple, entonces si alguien obtiene eso, todas las claves serán vulnerables, aunque sean claves complejas.
Esto es ahora último. Mi clave era "carito01" (la cambié obviamente ante todo esto).
Era una clave unica (no pun intended), utilizada solo en este sistema y la active hace como 4 años.
 

Soujiro

Fanático
Se incorporó
14 Enero 2008
Mensajes
1.428
pta yo tuve que cambiar 5 contraseñas, era una de las claves seguras... era como la del clusten con mas mix de numeros eso si
 
Subir