Actualización Revisión de seguridad en Forobeta

luismt · 2 Jun 2018

Hugo7 dijo:
Muy buena las medidas que tomaron, ahora, ¿Qué piensan de la siguiente idea?
Podrían usar la IP para identificar el país de cada usuario, y restringir predeterminadamente* las cuentas por país.
Entonces, el atacante no solo deberá "descubrir" la contraseña, si no también, conectarse desde el mismo país.

En ese caso se debería ocultarse el campo "Ubicación" en la info del usuario. De lo contrario con el solo uso de un VPN consigue lo que busca. :ambivalence:

Hugo7 · 2 Jun 2018

luismt dijo:
En ese caso se debería ocultarse el campo "Ubicación" en la info del usuario. De lo contrario con el solo uso de un VPN consigue lo que busca. :ambivalence:

:encouragement: Sí, es verdad... es mi idea no puse todos los detalles a tener en cuenta, porque es solo una idea...
Que de implementarse, deberían hacer más cosas que solo aplicar reconocimiento de países...
Pero como bien dices, habría que ocultar la ubicación o hacer algo al respecto...

Lo mejor, es No sacar capacidades de interacción, como por ejemplo Tapatalk...
Si no, como dice el eslogan del foro, siempre mejorar...

También podrían hacer un sistema como el de google...
Que te registra los dispositivos que usas y tus conexiones habituales...
Si te conectas desde otro dispositivo y un nuevo ISP, ¡Salta un alerta!
No es difícil realizarlo, pero requiere un análisis previo...

Saludos,
:encouragement: Hugo

tvlinks · 2 Jun 2018

Apenas vi el post de ineedyou vendiendo cripto, noté que había algo muy raro.

Oliver Mejía · 2 Jun 2018

Ojalá y ahora no aparezcan usuarios tratando de aprovecharse de esta situación cometiendo estafas y diciendo que fueron victimas de hackeos.

Sindulfo Santacruz · 3 Jun 2018

justo desactivé 2fa de mi cuenta!

random · 3 Jun 2018

luismt dijo:
En ese caso se debería ocultarse el campo "Ubicación" en la info del usuario. De lo contrario con el solo uso de un VPN consigue lo que busca. :ambivalence:

A veces ni siquiera es necesario que tengan el campo "Ubicación" en la info. Hay mensajes en el foro donde algunos usuarios escriben de que país son, incluso a que región pertenecen

- - - Actualizado - - -

Sindulfo Santacruz dijo:
justo desactivé 2fa de mi cuenta!

Pero el problema no fue en sí de 2FA por lo que se comenta en el post, sino por la aplicación Tapatalk (que no hace uso del 2FA).

David Morales · 3 Jun 2018

Oliver Mejía dijo:
Ojalá y ahora no aparezcan usuarios tratando de aprovecharse de esta situación cometiendo estafas y diciendo que fueron victimas de hackeos.

Si el foro le responde al usuario con pagarle lo perdido esto estaría propiciando
Sería bueno que lo haga Carlos como única vez por privado
y Anuncie públicamente que no lo hará

Ya que se trata de su personal staff y creo en consideración que por consecuencia debería eticamente ser responsable el foro

Aclaró:
No estoy a favor del pago a este usuario, ya que está consciente de que las Crypto son monedas peligrosas de usar en ciertos modos.

Mi punto es: duele perder esa cantidad en dolares
Pero también
No creo sea justo carlos lo pague
Aclaró mi comentario es en base a la ética pero realmente lo justo socialmente sería que sea perdida para el usuario

Bueno, ya no sé ni que opino mi ética contra mi moral social personal se debaten.

Nosé

Todo dependerá de Carlos

Pero esta en su derecho de negar el pago de dicha cantidad
Espero el usuario afectado no lo tome a mal

Cicklow · 3 Jun 2018

David Morales dijo:
Si el foro le responde al usuario con pagarle lo perdido esto estaría propiciando
Sería bueno que lo haga Carlos como única vez por privado
y Anuncie públicamente que no lo hará

Ya que se trata de su personal staff y creo en consideración que por consecuencia debería eticamente ser responsable el foro

Aclaró:
No estoy a favor del pago a este usuario, ya que está consciente de que las Crypto son monedas peligrosas de usar en ciertos modos.

Mi punto es: duele perder esa cantidad en dolares
Pero también
No creo sea justo carlos lo pague
Aclaró mi comentario es en base a la ética pero realmente lo justo socialmente sería que sea perdida para el usuario

Bueno, ya no sé ni que opino mi ética contra mi moral social personal se debaten.

Nosé

Todo dependerá de Carlos

Pero esta en su derecho de negar el pago de dicha cantidad
Espero el usuario afectado no lo tome a mal

mmm con la cuenta de Jorge no llegaron a hacer nada... el es el unico del staff de forobeta afectado. O me perdi de algo?

David Morales · 3 Jun 2018

cicklow dijo:
mmm con la cuenta de Jorge no llegaron a hacer nada... el es el unico del staff de forobeta afectado. O me perdi de algo?

dhanny dijo:
Pues ni tan activos porque le envie btc "a" iNeedYou 😡

Veo han censurado el comentario del usuario, no sé si fue él o el staff.
Espero pasen las cosas como comenté me alegro.

Cicklow · 3 Jun 2018

David Morales dijo:
Veo han censurado el comentario del usuario, no sé si fue él o el staff.
Espero pasen las cosas como comenté me alegro.

ineedyou no es del staff... simplemente (ineedyou) fue alguien que alguna ves fue mod del foro y se le saco (de esto hace mucho). Y no hay comentario editado en donde indicas.

Daniel Muñoz · 3 Jun 2018

cicklow dijo:
ineedyou no es del staff... simplemente fue alguien que alguna ves fue mod del foro y se le saco (de esto hace mucho). Y no hay comentario editado en donde indicas.

Puedes dar mas detalles de como fue la infiltración de ese usuario (saber que usuario fue tambien) al sistema de F2A? :ambivalence: de verdad eso me dejo como que ya no se puede confiar en nada, y como comentaron deben prohibir el login mediante PROXYS o VPN's

Finanzasymas · 3 Jun 2018

La responsabilidad de los negocios de los usuarios no son responsabilidad del foro . Yo pienso que el usuario afectado con un poco de sentido común pudo evitar la perdida de sus bitcoin. Todos conocemos el riesgo que conlleva estás transacciones . Culpar o echar responsabilidad al foro por la perdida no tiene sentido.
El usuario que lo tome de experiencia no somos novatos y hay que ser más precavidos en las transacciones :encouragement:

David Morales · 3 Jun 2018

cicklow dijo:
ineedyou no es del staff... simplemente fue alguien que alguna ves fue mod del foro y se le saco (de esto hace mucho). Y no hay comentario editado en donde indicas.

Ya no es mod?
¿Desde cuando? :S

- - - Actualizado - - -

Finanzasymas dijo:
La responsabilidad de los negocios de los usuarios no son responsabilidad del foro . Yo pienso que el usuario afectado con un poco de sentido común pudo evitar la perdida de sus bitcoin. Todos conocemos el riesgo que conlleva estás transacciones . Culpar o echar responsabilidad al foro por la perdida no tiene sentido.
El usuario que lo tome de experiencia no somos novatos y hay que ser más precavidos en las transacciones :encouragement:

Es que yo lo consideraba en la ocasión unica que iNeedYou fuera staff, pero recién me enteró que no
:s
¿Desde cuando no lo es?
No lo sé, parecé que cuando pasan los años algunas cosas cambian :distant:

- - - Actualizado - - -

David Morales dijo:
Si el foro le responde al usuario con pagarle lo perdido esto estaría propiciando
Sería bueno que lo haga Carlos como única vez por privado
y Anuncie públicamente que no lo hará

Ya que se trata de su personal staff y creo en consideración que por consecuencia debería eticamente ser responsable el foro

Aclaró:
No estoy a favor del pago a este usuario, ya que está consciente de que las Crypto son monedas peligrosas de usar en ciertos modos.

Mi punto es: duele perder esa cantidad en dolares
Pero también
No creo sea justo carlos lo pague
Aclaró mi comentario es en base a la ética pero realmente lo justo socialmente sería que sea perdida para el usuario

Bueno, ya no sé ni que opino mi ética contra mi moral social personal se debaten.

Nosé

Todo dependerá de Carlos

Pero esta en su derecho de negar el pago de dicha cantidad
Espero el usuario afectado no lo tome a mal

Con saber que ya no es Staff queda completamente retirado mi comentario '-'

Cicklow · 3 Jun 2018

David Morales dijo:
Ya no es mod?
¿Desde cuando? :S

- - - Actualizado - - -

Es que yo lo consideraba en la ocasión unica que iNeedYou fuera staff, pero recién me enteró que no
:s
¿Desde cuando no lo es?
No lo sé, parecé que cuando pasan los años algunas cosas cambian :distant:

- - - Actualizado - - -

Con saber que ya no es Staff queda completamente retirado mi comentario '-'

desde hace años... 2 sino mal recuerdo.

- - - Actualizado - - -

Daniel Muñoz dijo:
Puedes dar mas detalles de como fue la infiltración de ese usuario (saber que usuario fue tambien) al sistema de F2A? :ambivalence: de verdad eso me dejo como que ya no se puede confiar en nada, y como comentaron deben prohibir el login mediante PROXYS o VPN's

tapatalk no contemplaba el 2fa, si tenias activado el 2fa, alguien podia acceder usando tapatalk. Al parecer fue x ahi la cosa!

Daniel Muñoz · 3 Jun 2018

cicklow dijo:
...

Es que si, porque cuando active el F2A nunca me pidió código en el móvil, entonces sáquenlo, ya saben que usuario fue? :grumpy: al menos se dieron cuenta rápido y no fue catastrófico el mal deben implementar nuevas medidas de seguridad.

David Morales · 3 Jun 2018

Daniel Muñoz dijo:
Es que si, porque cuando active el F2A nunca me pidió código en el móvil, entonces sáquenlo, ya saben que usuario fue? :grumpy: al menos se dieron cuenta rápido y no fue catastrófico el mal deben implementar nuevas medidas de seguridad.

Ya salieron a la luz unas screenshots de un intento de usar la cuenta de Javier o Jorge como Intermediario con otro usuario.

No sé en que parte pero esta en este post.

- - - Actualizado - - -

Vaya aprovechamiento del 0day, nunca pensé que forobeta tuviera algo así en cuestión a los accesos

Pero quedo satisfecho con el tiempo de respuesta de los staffs 😱 en cuestión para protegernos como usuarios 😛8:

dhanny · 3 Jun 2018

Finanzasymas dijo:
La responsabilidad de los negocios de los usuarios no son responsabilidad del foro . Yo pienso que el usuario afectado con un poco de sentido común pudo evitar la perdida de sus bitcoin. Todos conocemos el riesgo que conlleva estás transacciones . Culpar o echar responsabilidad al foro por la perdida no tiene sentido.
El usuario que lo tome de experiencia no somos novatos y hay que ser más precavidos en las transacciones :encouragement:

Me puedes indicar en que punto dije que era culpa del foro? yo solo escribí lo que sucedio mas no nunca que fuera por el foro uno por ese lado; por otro lado con lo poco que llevo en el foro y por lo que he leído se que iNeedYou no se podrían ni tiene la necesidad de hacer eso, y fue de eso comente esto, que por algo es di lo que quieras

https://forobeta.com/fuera-de-tema/171800-di-que-quieras-4-1-a-post5293395.html#post5293395

Si el día de mañana a x usuarios los hackean y ya se vio que posible es, entonces luego de un negocio le califico negativo el día de mañana dice a no yo no fui, fue que me hackeron

Así como dices "La responsabilidad de los negocios de los usuarios" también existe la responsabilidad por tu cuenta, que hagan o dejen de hacer con ella es vuestra responsabilidad.

David Morales · 3 Jun 2018

Estoy completamente a favor de lo dicho

dhanny dijo:
"La responsabilidad de los negocios de los usuarios" también existe la responsabilidad por tu cuenta, que hagan o dejen de hacer con ella es vuestra responsabilidad.

Lamentablemente la cantidad perdida duele, no sé que medida se vaya a llevar a cabo pero aparentemente el foro no se podrá hacer responsable por mediado de un reembolso pero tendrá que verse como procede ese caso.

No se puede sancionar a iNeedYou porqué tenía el acceso por dos pasos que debería ser protegido por el foro

Pero, si él no es castigado no hay justicia 🙁

OJO: No pido lo castiguen pero si quisiera saber que pasará '-'

Medidas de seguridad ante toda operación en exceso
y Ahora a realizar tramites de solicitar un servicio día 1 pagarlo día 3 obtenerlo el día 7.

No créo así te hackéen una semana sin que te des cuenta '-'

thewarrior · 3 Jun 2018

La responsabilidad para hacer negocios es de los usuarios pero la seguridad de tu cuenta es responsabilidad del foro. Es lo mínimo que se puede pedir seguridad y han hackeado dos cuentas con verificación, la cual tenía incluso una etiqueta indicando si tú cuenta era segura o no. Nunca fue segura y solo se hackearon dos cuentas por que les interesaba eso, en realidad tuvieron el acceso a todas la cuentas.

A mi opinión personal el foro es responsable por mantener ese bug de seguridad.

David Morales dijo:
Estoy completamente a favor de lo dicho

Lamentablemente la cantidad perdida duele, no sé que medida se vaya a llevar a cabo pero aparentemente el foro no se podrá hacer responsable por mediado de un reembolso pero tendrá que verse como procede ese caso.

No se puede sancionar a iNeedYou porqué tenía el acceso por dos pasos que debería ser protegido por el foro

Pero, si él no es castigado no hay justicia 🙁

OJO: No pido lo castiguen pero si quisiera saber que pasará '-'

Medidas de seguridad ante toda operación en exceso
y Ahora a realizar tramites de solicitar un servicio día 1 pagarlo día 3 obtenerlo el día 7.

No créo así te hackéen una semana sin que te des cuenta '-'

LegenD · 3 Jun 2018

Para móviles podría ser útil un inicio de sección con verificador de huella 😀

Actualización Revisión de seguridad en Forobeta

luismt

Hugo7

tvlinks

Oliver Mejía

Sindulfo Santacruz

random

David Morales

Cicklow

David Morales

Cicklow

Daniel Muñoz

Finanzasymas

David Morales

Cicklow

Daniel Muñoz

David Morales

dhanny

David Morales

thewarrior

LegenD

Temas similares