Parece ser que nuestras cuentas podrian estar comprometidas en Mediavida

S

A raíz de lo acontecido en los últimos días en torno a la huelga de moderación, hoy toca un tema tan importante para darlo a conocer a todos los usuarios de mediavida he creado un hilo independiente.
El hilo del que hablo es este:
https://www.mediavida.com/foro/mediavida/esta-poniendo-mv-como-titanic-mods-huelga-bocadillo-698272

En él se exponía la problemática de la supuesta huelga de mods, sub-admins en la web, que estaba llenando el foro de spam y lo que para mi en algunos casos era un poco "bombas internas de basura". Ahora la cosa se complica.

Están empezando a aparecer hilos creados por perfiles "robados" y usados para intentar estafar a gente.

Aquí tenéis dos ejemplos:
https://www.mediavida.com/foro/compra-venta/vendo-tarjeta-steam-50-698297#4
https://www.mediavida.com/foro/intercambios/vendo-tarjeta-50-psn-698077

En ellos se usan la cuenta de varios users, los dos conocidos por mi. No cuentas random, para intentar "vender" artículos supuestamente de manera ilegítima. Claramente una estafa.

Y bien, ahora me toca preguntar a los ADMINS no a los moderadores.

A qué tipo de información pueden acceder los sub-admins dentro del foro?
Podrían haber accedido a datos de nuestras cuentas como correo y contraseñas?

Espero una respuesta que calme las cosas y aclare un poco todo lo que va sucediendo estas semanas.

EDIT: Recomendados encarecidamente a todos los usuarios que activen la verificación de cuenta en dos pasos en la pestaña seguridad de su perfil.

Saludos.

Krosita

Espera a que thrazz vuelva de las 2 ultimas que iba a desaparecer.

RusTu

A qué tipo de información pueden acceder los sub-admins dentro del foro?

A ninguna.

3 1 respuesta
S

#3
Pues empiezo a dudar de tu afirmación. O eso o un Admin está directamente poniendo minas alrededor de la web...
Y una pregunta, tú eres moderador, o sub-admin, creo que había diferencias entre ambos.

1 respuesta
darksturm

Las contraseñas, al menos hasta donde yo recuerdo en antiguos foros, no podía ni verlas el creador del foro, son datos muy delicados.
Otra cosa es que gente se haya sacado cuentas a través de listas filtradas de emails o cosas así

1 1 respuesta
Vitov

Esto se va de madre

T

Me encanta la ciudad sin ley, es hora de bajar agroo haciendo el sinvergüenza

S

#5
Eso quiero creer. Así debería ser, pero quizás puedan acceder a las cuentas de manera directa sin poner contraseña. No se como está diseñado este foro, solo consulto..
Es que lo que está sucediendo es mucha casualidad que esté sucediendo, todo junto en estos momentos de incertidumbre en el foro.

1 respuesta
B

darksturm

#8 Ahí ya ni idea, yo es que soy de la época de los vbulletin y phpbb2 tipicos X_x

De hecho, este foro creo que es programación propia, ¿no?

RusTu

#4 Duda lo que quieras, es sano.

Sub-admin. Podemos toquetear en cualquier subforo (edición de post, creación de nuevos a partir de un hilo, moderar un mensaje...). También podemos meter CTs y quitar punishes. Y ahí se quedaron nuestras nuevas funciones.

1 3 respuestas
S

#11
Gracias por tu respuesta Rustu, aunque ahora las dudas son, han sido hackeados los datos del foro de alguna manera en los últimas semanas? Es casualidad que hayan hackeado a dos cuentas diferentes en unos días?
Está pasando algo que debemos conocer los usuarios?

2 respuestas
RusTu

#12 Ni zorra, pero algo ha tenido que pasar si hay dos usuarios que afirman que les han hackeado las cuentas.

1 respuesta
S

#13
Como comenta @Lan0s uno de los afectados, creo que va siendo hora de mejorar la seguridad en el foro. Quizás la obligación de activar la verificación en dos pasos, esto podría ayudar a terminar con dos problemas de golpe en el foro. Uno la suplantación y hackeo de cuentas, y otro las dichosas multi-account que tantos dolores de cabeza dan a los admins y mods.

1 respuesta
Lan0s

Tiene toda la pinta de que es alguien explorando una vulnerabilidad ya sea en el front o el back, porque de hecho el mensaje que se ha publicado con mi cuenta parece enviado con un script.

BruJo

Por si acaso deberíais de activar la doble autenticación en la cuenta.

1 respuesta
S

#16
Me acabo de enterar que eso existia.
@Lan0s , @eXtreM3
Alguno de los dos tenia esta doble verificacion activa?

2 respuestas
Alu

#14 el 2FA lleva años activado en MV, otra cosa es que los users suden de ponérselo.

Por cierto, nombre en color verde: sub-admin. Nombre en color azul: admin.

1 1 respuesta
S

#18
Vale lo acabo de revisar, y he editado mi texto, pues quizás deberían obligar a tenerlo ya para usar el foro sino, cuenta borrada en 10 días. Y seguro que se puede mejorar de alguna manera para que el usuario tenga que autentificarse y así como decía se solucionen dos problemas en 1.

jiGGSaW

Pero no molestéis a thrazz de sus vacaciones en las Bahamas por estas nimiedades.

Si sube la ultraderecha en el foro o se habla mal de los gitanos entonces si, para esas cosas que son mucho mas importantes entonces podéis activar la alarma thrazz, pero para suplantación de identidades en el foro? Pido la opinión de @vappatixihm que controla del tema a ver si nos puede dar algún consejo.

4
Lan0s

#17 yo no lo tenía, ya no soy tan participativo como antes en el foro, así que me he perdido muchas cosas. Voy a activarla.

Soltrac

#12 haveibeenpwned.com

De nada.

1 respuesta
SpiuK

Esto es lo que pasó en h2m: se roban cuentas por pw de mierda y se ponen hilos de venta en su nombre. También ha pasado en fc, eol etc. No es cosa de acceder a la bbdd de mv, si no a la seguridad de cada uno para con sus cuentas.

Nyhz

Tan sencillo como que usan la misma combinación user/password de otra web que sí habrá sido hackeada. Tampoco es un misterio muy loco xD

1 respuesta
S

#22
Con eso no arreglas nada, ya partes de la base que entonces conocen el correo de los usuarios, si no lo han dado en ningun sitio dentro del foro es que de alguna manera alguien tiene acceso a datos nuestros.
#24
La situación es que es una pequeña coincidencia que todas estas cosas raras empiecen a suceder ahora todas en conjunto.

1 respuesta
rob198

Vuelves a precipitarte como en el otro hilo, parece que seas tú de esos que quieren atacar MV

1 respuesta
S

#26
Lo siento no te entiendo, solo busco respuestas y pongo algo que me preocupa como usuario en conocimiento de los users, yo llevo aquí 22 años, no quiero que esto se hunda ni desaparezca como si veo que mucha gente está deseando, si MV cierra o se hunde, yo me voy con ella, yo no pienso pasarme a otros "sitios voy a decir"
Por eso me tomo el tiempo libre que tengo en el curro para molestarme en escribir dos post sobre el tema, a ver si llega a Beavis, Letto o alguien y empiezan a solventar problemas que parece tener el foro.

1 respuesta
z4eR

Es todo un complot de forocoches para copar el mercado internetil

1 respuesta
z4eR

Edit, doble post

Soltrac

#25 Pero por dios, que no es tan difícil estar registrado en 2 sitios con el mismo usuario xD

Hazme caso, los ataques dirigidos a sitios suelen dejar rastros y no, nadie guarda en una base de datos una contraseña en plain text.

A los users q nombras o les han robado la contraseña o la cookie, no hay que comerse la cabeza.

1 1 respuesta