Hackean contraseñas con Mega.co.nz

David Morales · 5 Sep 2018

La extensión oficial de Chrome para el servicio de almacenamiento en la nube MEGA.nz había sido comprometida y reemplazada con una versión maliciosa que puede robar las credenciales de los usuarios para sitios web populares como Amazon, Microsoft, Github y Google, así como claves privadas para billeteras de criptomonedas de los usuarios.*

El 4 de septiembre a las 14:30 UTC, un atacante desconocido logró piratear la cuenta de la tienda web Google Chrome de MEGA y cargar una versión maliciosa 3.39.4 de una extensión a la tienda web, según una*una publicacion oficial en su blog publicada por la compañía.

Tras la instalación o actualización automática, la extensión maliciosa solicitó permisos elevados para acceder a la información personal, lo que le permite robar credenciales de sitios como Amazon, Github y Google, junto con billeteras en línea como MyEtherWallet y MyMonero, e Idex.market.

La extensión Mega troyanizada luego envió toda la información robada al servidor de un atacante ubicado en megaopac [.] Host en Ucrania, que luego es utilizada por los atacantes para iniciar sesión en las cuentas de las víctimas y también extraer las claves privadas de criptomoneda para robar monedas digitales de los usuarios.

"Solo se verá afectado si tuviera la extensión MEGA Chrome instalada en el momento del incidente, la actualización automática habilitada y si aceptó el permiso adicional o si acaba de instalar la versión 3.39.4", advirtió la empresa.

La compañía también dijo que Google no permitió a los editores firmar sus extensiones de Chrome y ahora confía únicamente en que Google las suscriba automáticamente después de que se cargue la extensión, lo que facilita a los piratas informáticos el envío de nuevas actualizaciones como lo hacen los desarrolladores.

La cuenta oficial de Twitter de Monero (XMR) también publicó una advertencia sobre el incidente, diciendo que la extensión MEGA maliciosa también incluye la funcionalidad para robar la criptomoneda Monero y aconsejar a los titulares de Monero que se mantengan alejados de la extensión.

Un investigador de seguridad, que informó por primera vez de la violación, también publicó una advertencia en*Reddit*y*Twitter, informando a los usuarios que eviten la extensión troyanizada de MEGA.

Aunque la compañía no ha revelado la cantidad de usuarios afectados por el incidente de seguridad, se cree que la versión maliciosa de la extensión MEGA Chrome puede haber sido instalada por decenas de millones de usuarios.

¿Qué deberían hacer los usuarios de MEGA a continuación?

La versión de Firefox de MEGA no se ha visto afectada o manipulada, y los usuarios que acceden a MEGA a través de su sitio web oficial (hxxps:// mega [.] nz) sin la extensión de Chrome tampoco se ven afectados por el fallo de seguridad.

Cuatro horas después de la violación de seguridad, la compañía se enteró del incidente y actualizó la extensión con una versión MEGA limpia (3.39.5), actualizando automáticamente todas las instalaciones afectadas.

Google también eliminó la extensión MEGA de Chrome Web Store cinco horas después de la violación.

Sin embargo, los usuarios deben considerar que sus credenciales se vieron comprometidas en los sitios web y las aplicaciones que visitaron mientras la extensión troyanizada de MEGA Chrome estaba activa.

"Tenga en cuenta que si visitó cualquier sitio o utilizó otra extensión que envía credenciales de texto sin formato a través de solicitudes POST, ya sea mediante el envío directo del formulario o a través de un proceso de fondo XMLHttpRequest (MEGA no es uno de ellos) mientras la extensión troyanizada estaba activa , considere que sus credenciales se vieron comprometidas en estos sitios y / o aplicaciones ", dijo la compañía.

Los usuarios que hayan instalado la extensión maliciosa deberían desinstalar la extensión MEGA versión 3.39.4 ahora mismo, y cambiar las contraseñas de todas sus cuentas, especialmente aquellas que haya usado al tener la extensión maliciosa.

arnego2 · 5 Sep 2018

[MENTION=80426]David Morales[/MENTION]
Gracias por el aporte.

En la comodidad yace peligro indudablemente.

RedxLus · 5 Sep 2018

Si, la verdad es que MEGA me gustaba mucho como almacenamiento y Kim Dotcom que es el dueño, aunque me parece excentrico, coincido en la mayoria de veces con el cuando dice que no existe la privacidad en internet por los gobiernos y que hay que luchar con ella. Me sorprende este hackeo, nunca le habia pasado

ramonjosegn · 5 Sep 2018

Se están volviendo muy vulnerables las contraseñas en la web, va a tocar que inventen un nuevo sistema... no sé... :fatigue:

- - - Actualizado - - -

RedxLus dijo:
Si, la verdad es que MEGA me gustaba mucho como almacenamiento y Kim Dotcom que es el dueño, aunque me parece excentrico, coincido en la mayoria de veces con el cuando dice que no existe la privacidad en internet por los gobiernos y que hay que luchar con ella. Me sorprende este hackeo, nunca le habia pasado

Se suponía que google iba a tener más cuidado con las extensiones que suben... pero yo veo muchas que ya ni funcionan y siguen en el repertorio haciendo haciendo muy difícil obtener las más actualizadas y verificar si no son dañinas... no creo que extensiones de hace 5 años atrás hayan sido escaneadas de nuevo..

Así les pasó en Android y tuvieron que añadir escaneo inteligente en la nube... deberían implementarlo quizás también...

El navegador Yandex sí bloquea cualquier extensión que haga llamadas externas... :ambivalence:

RedxLus · 5 Sep 2018

ramonjosegn dijo:
Se están volviendo muy vulnerables las contraseñas en la web, va a tocar que inventen un nuevo sistema... no sé... :fatigue:

- - - Actualizado - - -

Se suponía que google iba a tener más cuidado con las extensiones que suben... pero yo veo muchas que ya ni funcionan y siguen en el repertorio haciendo haciendo muy difícil obtener las más actualizadas y verificar si no son dañinas... no creo que extensiones de hace 5 años atrás hayan sido escaneadas de nuevo..

Así les pasó en Android y tuvieron que añadir escaneo inteligente en la nube... deberían implementarlo quizás también...

El navegador Yandex sí bloquea cualquier extensión que haga llamadas externas... :ambivalence:

En mi opinion a Google le gusta demasiado el dinero. He estado para hacer mi pagina en otros idiomas entre ellos el chino y Baidu aunque mucho mas restrictivo para ser usuario (necesitas ser especificamente de china) la calidad del buscador es impresionante en cambio parece que google al tener tantos proyectos abiertos parece olvidar que lo primero es la experiencia usuario.

ramonjosegn · 5 Sep 2018

RedxLus dijo:
En mi opinion a Google le gusta demasiado el dinero.

Como sea tendrán que tomar alguna medida creo yo... que tal que ahora todo el mundo se ponga a subir extensiones con virus...

Más que gustarles el dinero creo que tienen muchas familias que alimentar... 🙄🙄🙄

David Morales · 5 Sep 2018

arnego2 dijo:
David Morales
Gracias por el aporte.

En la comodidad yace peligro indudablemente.

RedxLus dijo:
Si, la verdad es que MEGA me gustaba mucho como almacenamiento y Kim Dotcom que es el dueño, aunque me parece excentrico, coincido en la mayoria de veces con el cuando dice que no existe la privacidad en internet por los gobiernos y que hay que luchar con ella. Me sorprende este hackeo, nunca le habia pasado

ramonjosegn dijo:
Se están volviendo muy vulnerables las contraseñas en la web, va a tocar que inventen un nuevo sistema... no sé... :fatigue:

- - - Actualizado - - -

Se suponía que google iba a tener más cuidado con las extensiones que suben... pero yo veo muchas que ya ni funcionan y siguen en el repertorio haciendo haciendo muy difícil obtener las más actualizadas y verificar si no son dañinas... no creo que extensiones de hace 5 años atrás hayan sido escaneadas de nuevo..

Así les pasó en Android y tuvieron que añadir escaneo inteligente en la nube... deberían implementarlo quizás también...

El navegador Yandex sí bloquea cualquier extensión que haga llamadas externas... :ambivalence:

RedxLus dijo:
En mi opinion a Google le gusta demasiado el dinero. He estado para hacer mi pagina en otros idiomas entre ellos el chino y Baidu aunque mucho mas restrictivo para ser usuario (necesitas ser especificamente de china) la calidad del buscador es impresionante en cambio parece que google al tener tantos proyectos abiertos parece olvidar que lo primero es la experiencia usuario.

ramonjosegn dijo:
Como sea tendrán que tomar alguna medida creo yo... que tal que ahora todo el mundo se ponga a subir extensiones con virus...

Más que gustarles el dinero creo que tienen muchas familias que alimentar... 🙄🙄🙄

Gracias por sus respuestasEl atacante podía obtener los datos de acceso a plataformas como Amazon, GitHub, Google, entre otras.
Google ya se enteró de la situación y removió la extensión de la Webstore.

Independiente a ello, se dice que fue un unico fallo de seguridad pero nada se ha confirmado, el Fallo no fue por parte de MEGA fue por parte de los servidores de Google.

Me explico:

Se supone esto sucedió porque un tercero con credenciales de identificación similares a las de el usuario que actualiza el Plugin de Mega

Mando la extensión infectada a Google y los operadores humanos de Google la aceptaron rápido por ser una aplicación de confianza.

Este error humano trae conflictos de interés por cuestiones de quien recibirá las demandas por avisos de privacidad violados, Ya que Google no ha admitido ni desmentido la situación y Mega.co.nz No ha dado tampoco ningún tipo de información

Especula que vayan a hacer únicamente responsable a Mega.co.nz para no dañar el Nombre de Google pero Google se hará responsable de trasfondo de los Daños causados.

Fuente: Grupos privados de facebook.

arnego2 · 5 Sep 2018

David Morales dijo:
Google ya se enteró de la situación y removió la extensión de la Webstore.
Independiente a ello, se dice que fue un unico fallo de seguridad pero nada se ha confirmado, el Fallo no fue por parte de MEGA fue por parte de los servidores de Google.

Si no fuera tan triste seria para reírse,
Google ya se enteró (por los artículos en la prensa online)?

Santiago Paz · 5 Sep 2018

Yo opino que deberían de compensar a los usuarios quizá quitando el molesto ancho de banda xd

David Morales · 5 Sep 2018

arnego2 dijo:
Si no fuera tan triste seria para reírse,
Google ya se enteró (por los artículos en la prensa online)?

Lamentablemente así es, Se dio cuenta Google que se estaba empezando a indexar una tendencia de "Hacked Google extension" y pues ya la bajaron rápido.

Santiago Paz dijo:
Yo opino que deberían de compensar a los usuarios quizá quitando el molesto ancho de banda xd

Fue culpa de Google no de Mega, pero Mega será el demandado.

Podría incluso haber sido robado el pack privado de la elfa de todos los mecos que usan mega.co.nz para almacenar información xd

Jarem · 5 Sep 2018

RedxLus dijo:
Si, la verdad es que MEGA me gustaba mucho como almacenamiento y Kim Dotcom que es el dueño, aunque me parece excentrico, coincido en la mayoria de veces con el cuando dice que no existe la privacidad en internet por los gobiernos y que hay que luchar con ella. Me sorprende este hackeo, nunca le habia pasado

Kim ya no es dueño de mega hace rato.

RedxLus · 5 Sep 2018

Jarem dijo:
Kim ya no es dueño de mega hace rato.

Recién me entero que ahora los dueños son el gobierno de Nueva Zelanda. Y que desde la pagina de Wikipedia sobre MEGA sale un enlace a una pagina de peliculas online :witless:

santiagojim · 5 Sep 2018

soy en único que dejo de usar este mega cuando cerraron Mega upload? yo no lo uso, incluso veo que regalan themes premium y demas cosas, pero cuando veo que es de mega me da miedo descargar.. 😕 :ambivalence:

David Morales · 6 Sep 2018

Jarem dijo:
Kim ya no es dueño de mega hace rato.

Que el gobierno de Nueva Zelanda me parece un truco de corresponsales pero si le sigo al tema parecere conspiranoico jajaja

RedxLus dijo:
Recién me entero que ahora los dueños son el gobierno de Nueva Zelanda. Y que desde la pagina de Wikipedia sobre MEGA sale un enlace a una pagina de peliculas online :witless:

:U esos enlaces de calidad que hay que quitarle :u

santiagojim dijo:
soy en único que dejo de usar este mega cuando cerraron Mega upload? yo no lo uso, incluso veo que regalan themes premium y demas cosas, pero cuando veo que es de mega me da miedo descargar.. 😕 :ambivalence:

Solo tú eres el único xd

Su sistema de mega es uno de los más seguros

Y de hecho es el que menos posibilidades tiene de ser hackeado

Que te puedes bajar virus descargando cosas que subió alguien si

Pero si alguien subió un virus a Google Drivers de más de 1.3gb o en WinRAR Drive no lo detectarla y pum

Infectado xd

csnotcs · 6 Sep 2018

ramonjosegn dijo:
Se están volviendo muy vulnerables las contraseñas en la web, va a tocar que inventen un nuevo sistema... no sé... :fatigue:

Estaria bueno que nos metan un chip, así podríamos poner toda nuestra información (tarjetas de credito, banco, salud, etc.) y que las PC, celulares, etc. Vengan (por ley) con un sensor para ese chip.

Y que ese chip, para las contraseñas, no use contraseñas, use un token generado que dure solo 5 segundos.

Sería la mejor manera, o usar datos biometricos, peroe stariamos en lo mismo. Mientras se almacene información estatica pasará.

Lo mejor sería eso, o mejor, que se use (de facto) algo como Google Auth, o Authy. Así evitamos usar datos estaticos.

LJ23 · 6 Sep 2018

RedxLus dijo:
Si, la verdad es que MEGA me gustaba mucho como almacenamiento y Kim Dotcom que es el dueño, aunque me parece excentrico, coincido en la mayoria de veces con el cuando dice que no existe la privacidad en internet por los gobiernos y que hay que luchar con ella. Me sorprende este hackeo, nunca le habia pasado

Tengo entendido que Kim Dotcom tiene tiempo que dejo de ser el dueño de MEGA así que ya por ahí podriamos empezar a ver por que se llego a dar esta vulnerabilidad... aunque tambien tiene mucha culpa google a fin de cuentas

David Morales · 6 Sep 2018

csnotcs dijo:
Estaria bueno que nos metan un chip, así podríamos poner toda nuestra información (tarjetas de credito, banco, salud, etc.) y que las PC, celulares, etc. Vengan (por ley) con un sensor para ese chip.

Y que ese chip, para las contraseñas, no use contraseñas, use un token generado que dure solo 5 segundos.

Sería la mejor manera, o usar datos biometricos, peroe stariamos en lo mismo. Mientras se almacene información estatica pasará.

Lo mejor sería eso, o mejor, que se use (de facto) algo como Google Auth, o Authy. Así evitamos usar datos estaticos.

Vaya estás en todo [MENTION=173661]csnotcs[/MENTION] jaja

Y aún faltan décadas para que el gobierno se preocupe por la seguridad en línea que por robar
(Sin importar el país donde esté quién lo lea xd )

ljohnner23 dijo:
Tengo entendido que Kim Dotcom tiene tiempo que dejo de ser el dueño de MEGA así que ya por ahí podriamos empezar a ver por que se llego a dar esta vulnerabilidad... aunque tambien tiene mucha culpa google a fin de cuentas

Pues si, como aceptar una actualización rápidamente sin verificarla, se supone ellos analizan todo antes de meter la pata ._.

O más bien para no meter la pata jajaja

csnotcs · 6 Sep 2018

David Morales dijo:
Vaya estás en todo [MENTION=173661]csnotcs[/MENTION] jaja

Y aún faltan décadas para que el gobierno se preocupe por la seguridad en línea que por robar
(Sin importar el país donde esté quién lo lea xd )

En países de 1er mundo (y hablo de 1er mundo real, no E.E.U.U) posiblemente hasta ya implementen chips (creo haber leído que en Holanda están metiendo chips, para algo, no recuerdo bien, pero relacionado con la identificación). Incluso hay debates legislativos en algunos países, ya que hay empresas que quieren reemplazar las fichas por chips (en la piel), y justamente es una invasión a la privacidad (según) e incluso quieren usarlos para corroborar que por ej. si reportas un accidente en el trabajo, realmente estés en el trabajo, o viajando.

El problema es que el 1er mundo (real) son menos de 20 países. El resto del mundo tiene muuuucho camino que recorrer para llegar a meterte un chip (mas que nada porque hay países con constituciones que están atoradas decadas).

Y bueno... De 3er mundo ni hablemos... Todavía hay paises que usan boletos de papel en vez de una tarjeta para sacar abonos del bus. Imaginate cuanto les falta para llegar a implementar un chip en la piel.

Y obviamente este tipo de atrasos se debe a la corrupción. Roban y dejan una miseria para implementar mejoras. Y con poco presupuesto, poco se puede hacer.

David Morales · 6 Sep 2018

Vaya te has creado un buen texto venderlo a Discovery Chanenel para que hagan un documental

Realmente es interesante el tema, pero la cuestión principal es que además de las violaciones de privacidad que podría a llegar a generar la nanotecnología en chips

Hablamos de que se acabaría la migración ilegal en esos países

hablamos de que claramente podrían poner sensores silenciosos de alarma cuando una persona no tengo un chip de identificación válido se genera un operativo de detención

Obviamente el primer año sería muy difícil para todo el gobierno y sus empleados de seguridad oficiales y militares acabar con todos los ilegales que ya se encuentren en el país pero después de 3 años máximo ya estarían completamente libres de inmigrantes ilegales

csnotcs dijo:
En países de 1er mundo (y hablo de 1er mundo real, no E.E.U.U) posiblemente hasta ya implementen chips (creo haber leído que en Holanda están metiendo chips, para algo, no recuerdo bien, pero relacionado con la identificación). Incluso hay debates legislativos en algunos países, ya que hay empresas que quieren reemplazar las fichas por chips (en la piel), y justamente es una invasión a la privacidad (según) e incluso quieren usarlos para corroborar que por ej. si reportas un accidente en el trabajo, realmente estés en el trabajo, o viajando.

El problema es que el 1er mundo (real) son menos de 20 países. El resto del mundo tiene muuuucho camino que recorrer para llegar a meterte un chip (mas que nada porque hay países con constituciones que están atoradas decadas).

Y bueno... De 3er mundo ni hablemos... Todavía hay paises que usan boletos de papel en vez de una tarjeta para sacar abonos del bus. Imaginate cuanto les falta para llegar a implementar un chip en la piel.

Y obviamente este tipo de atrasos se debe a la corrupción. Roban y dejan una miseria para implementar mejoras. Y con poco presupuesto, poco se puede hacer.

csnotcs · 6 Sep 2018

David Morales dijo:
Vaya te has creado un buen texto venderlo a Discovery Chanenel para que hagan un documental

Realmente es interesante el tema, pero la cuestión principal es que además de las violaciones de privacidad que podría a llegar a generar la nanotecnología en chips

Hablamos de que se acabaría la migración ilegal en esos países

hablamos de que claramente podrían poner sensores silenciosos de alarma cuando una persona no tengo un chip de identificación válido se genera un operativo de detención

Obviamente el primer año sería muy difícil para todo el gobierno y sus empleados de seguridad oficiales y militares acabar con todos los ilegales que ya se encuentren en el país pero después de 3 años máximo ya estarían completamente libres de inmigrantes ilegales

De hecho, sería casi útopico.

Podríamos tener todo, desde historias clinicas, hasta cuentas de banco. Y el gobierno podría dar distintos niveles de acceso (para que por ej. tu banco no te rastree, o pueda acceder a tu seguro médico), y ya con eso estaría mas o menos controlada la privacidad. Y tampoco es muy dificil de hacer el software.

No tan solo la migración, si no todo tipo de control se erradicaría, dejando solo un chip como filtro. Al final de cuentas, no se requiere mas que el chip y un sensor que actue como alimentación (que encienda el chip al posarse en el sensor).

Los ilegales no creo que se eliminen, ya que siempre hayan la forma de entrar a un país, y siempre habrá corrupcion que permita modificar los datos del chip. Yo lo enfocaría mas al hecho de que en vez de cargar con 200000 tarjetas para todo, con un chip tendríamos todo, en todos lados.

EL único problema es la gente. Hay mucha ignorancia y superstición. Las personas tienden a formar teorías conspiranoicas, o pensar que es malo. Y sería dificil adoctrinar a la población para que entiendan como funciona este tipo de nanotecnologias.

Hackean contraseñas con Mega.co.nz

David Morales

arnego2

RedxLus

ramonjosegn

RedxLus

ramonjosegn

David Morales

arnego2

Santiago Paz

David Morales

Jarem

RedxLus

santiagojim

David Morales

csnotcs

LJ23

David Morales

csnotcs

David Morales

csnotcs

Temas similares