Noticias de Tecnología

Plusdede si tiene acceso a todos tus datos de Pordede

4 Julio, 2017

Llevamos todo el día hablando del hackeo de Pordede y me he dado cuenta de que en muchos medios no se especifica claramente si la web Plusdede tiene acceso a los datos de los usuarios o no. Es por eso que me he propuesto una prueba de concepto para aclarar este asunto.

Yo, tenía cuenta en Pordede y no había accedido hasta ahora a Plusdede.com, ni mucho menos había registrado una cuenta. Es por eso que quería comprobar si habían sido capaces de clonar mis datos o no. Y efectivamente, accedí con mi correo electrónico y contraseña habituales de Pordede a Plusdede como si se tratase de la web legítima.

Dejo bajo estas líneas una captura de pantalla donde se puede ver que no solamente tienen los datos de mi cuenta de Pordede (nombre de usuario, correo electrónico y contraseña), sino que además también han sido capaces de clonar las preferencias de mi cuenta, las películas que he visto, las que tengo en favoritos, etc.

cuenta clonada plusdede

No importa que no hayas accedido a Plusdede, tu cuenta está en peligro igualmente

De lo anterior se desprende que en realidad lo que han hecho los de Plusdede es obtener acceso total al servidor donde se aloja Pordede y han montado tanto la base de datos como el script de Pordede (con algunas modificaciones) en su propio servidor y bajo el dominio plusdede.com.

De este modo consiguen tener una apariencia de que realmente Pordede si ha cambiado de dominio (a pesar de que en estos momentos ya no muestra el mensaje de que se han mudado) y los usuarios siguen pudiendo acceder al contenido sin levantar sospechas.

De esta forma también es posible que nuevos usuarios terminen registrándose en Plusdede y sigan añadiendo nuevas cuentas a los hackers, cuentas que estarán en peligro sin que ellos sean conscientes.

Cambia la contraseña del correo que uses en Pordede hayas o no accedido a Plusdede

Es indiferente si has accedido o no a Plusdede, con esto queda demostrado que ellos tienen acceso a las cuentas de Pordede y por tanto el riesgo existe igualmente. Por tanto, en el caso de que utilices el mismo correo y contraseña de acceso a Pordede en otras webs o servicios importantes (bancos, redes sociales, webs de tu interés, etc), es de suma importancia que cambies cuanto antes la contraseña de los mismos para evitar que te puedan hackear dichas cuentas.

En caso de que no lo hagas es muy probable que un día de estos te encuentres con la desagradable sorpresa de que alguien se ha apropiado de tu cuenta Twitter, Facebook o que ha hecho compras en tu nombre utilizando tu cuenta de PayPal.

También se puede dar el caso de que la base de datos de usuarios sea vendida a terceras personas o empresas que la puedan utilizar para fines que atenten contra tus intereses y los del resto de usuarios.

Sigue la evolución de Pordede en su Twitter oficial

Se dice que a río revuelto ganancia de pescadores, y ese dicho es aplicable a esta situación. Ten cuidado con las cuentas fake de Twitter que puedan hacerse pasar por cuentas de Pordede o con información comprometedora para ti.

La única cuenta oficial de la que debes fiarte es https://twitter.com/pordede, a través de ella el dueño de la web irá publicando las mejoras y actualizaciones que vayan surgiendo al respecto, y cuando Pordede vuelva a estar online lo comunicará debidamente a los usuarios.

En estos momentos todo sigue igual y es de suponer que estén intentando organizar todo y encontrar los fallos de seguridad que han permitido el acceso al servidor. También han declarado que no tienen ni idea de quien ha sido la persona o personas que han accedido y los motivos concretos.

Plusdede si tiene acceso a todos tus datos de Pordede
5 (100%) 2 votos
CompárteloShare on Google+2Share on Facebook5Tweet about this on TwitterShare on LinkedIn0Email this to someoneShare on StumbleUpon0Share on Tumblr0Share on Reddit0Pin on Pinterest0

11 Comentarios

  • Reply Raul 4 Julio, 2017 at 9:08 pm

    Pero oye, como decías antes, si la BBDD está encriptada ellos no pueden saber las contraseñas, no?

    Me refiero, es lógico que podamos hacer login en Plusdede porque es una copia exacta de su BBDD pero ellos no pueden “ver” nuestras contraseñas si nosotros no hacemos login manualmente y se las entregamos ¿No era así?

    • Reply Juan Negro 5 Julio, 2017 at 4:38 am

      En ese supuesto no pueden acceder pero si puedes acceder a tu correo electrónico y a una contraseña encriptada que podrían intentar descifrar. No he usado scripts pero en sistemas de foros y cms donde se usan bases de datos se almacenan en tablas, y hay una tabla destinada a los usuarios con diferentes campos, en esos cambios se encuentra el nombre de usuario, datos personales, email y la contraseña encriptada/hasheada, en este caso no sé como funciona, pero debería ser algo similar a eso. Por tanto, estás igualmente en peligro porque podrían desencriptarlas usando un diccionario de contraseñas similares tipo este http://www.md5online.org/ o usar fuerza bruta para hackear la contraseña. Deberías cambiarla si la usas en otros servicios.

  • Reply Emilio 5 Julio, 2017 at 12:28 am

    Que cabroncetes y que listos, ponen a disposición una web clon en la cual al logearte se conecte a la db de pordede y al comprobar la contraseña con la encriptada se hacen una copia de la contraseña en texto plano. Que listos !

  • Reply Trax800 5 Julio, 2017 at 2:39 pm

    ¿Alguien ha podido acceder ya a Pordede? Estoy intentando cargar la pagina y no me deja.

  • Reply Raul 5 Julio, 2017 at 7:02 pm

    Si, tal cuál. Es una lástima que esto haya sucedido, sin duda habrá afectado a cientos de miles de usuarios que no se habrán enterado y si encima le sumamos el asunto de Plusdede… clonar una web, unas BBDD, intentar robar usuarios y encima ir de “salvadores” con la excusa del tema de la publicidad… Un robo a mano armada de una web vaya. Su explicación de hace unas horas es un auténtico cachondeo.

    No se que futuro puede tener ese nuevo chiringuito pero los admins de Pordede deberían ser lo suficientemente inteligentes para colgar aunque sea un anuncio en su web mientras recuperan los servidores.

  • Reply Elyzabeth 5 Julio, 2017 at 8:09 pm

    Gracias por contarnos más sobre el tema.

  • Reply Dawi 6 Julio, 2017 at 1:27 am

    El problema de esto, es que claramente deja a Pordede en una situación crítica. Una demostración de la gran falta de seguridad en dicha web porque han clonado TODO. Yo tengo distintas contraseñas según para qué cosas, los correos nunca tienen la misma contraseña que el de otras páginas (Primer consejo).

    Por otro lado, a mí aún no me han intentado hackear y creo que probaré a usar sus servicios durante un tiempo, no voy a perder más de lo que “ya perdí”.

    Las contraseñas en un principio si Pordede las encripta, no deberían ser accesibles. Si cambian el login pueden conseguir que se les envíe tu contraseña sin encriptar y ahí robartela. También te la pueden robar a través de fuerza bruta pero eso requiere de mucho tiempo dependiendo del tipo de seguridad de cada contraseña y con todos los usuarios que hay no creo que merezca la pena.
    Por otro lado, ya de entrada tienen todos nuestros correos. Podrían haber robado la BBDD de pordede sin que se percatasen y venderlos. No hubiesen tenido que mejorar la web ni nada.

    Los datos de los usuario ya están expuestos, la única recomendación es que cambien de contraseña y en mi caso probaré Plusdede vamos a ver si van en serio o solo tratan de robar información.

    Todos debemos admitir, que los de Plusdede han hecho un gran trabajo, nunca había visto una clonación tan bien logrado y he visto páginas de pishing anteriormente.

    • Reply Juan Negro 6 Julio, 2017 at 4:10 am

      Han tenido acceso total al servidor, con eso no es difícil clonar, una web no es más que su base de datos y archivos.

  • Reply Dawi 6 Julio, 2017 at 5:50 am

    Lo sé, pero para mí eso es solo una confirmación más de que Pordede no es mucho más fiable que Plusdede. Sin tener en cuenta también las publicidades con malware a las que redirecciona Pordede.

    Me pasaré al lado oscuro, veremos como me trata.

  • Reply Ezel 11 Julio, 2017 at 4:06 pm

    Que “suerte” tengo, resulta que me hice la cuenta de pordede con una cuenta de gmail que hace tiempo que eliminé, y en pordede no te dejaban cambiar el email solo la contraseña, y como uso KeePass y mis contraseñas no se repiten entre si, cero problemas xD. Además la contraseña que tenía era laaaarga, así que nada, que “disfruten” de mis datos los de Plusdede, que por otra parte son unos sinvergüenzas y unos listos, ya que se han quedado con las credenciales de un montón de usuarios de una web que no les pertenecía. ¿No se les puede denunciar a la policía y que les cierren la web o algo?.

    • Reply Juan Negro 11 Julio, 2017 at 4:58 pm

      No creo que merezca mucho la pena la denuncia, si al menos fuese colectiva. Ten en cuenta que en una denuncia civil eres tú quien debe costearse el abogado y procurador. También ten en cuenta que cabe la posibilidad de que no te den la razón y tengas que cargar con los costes del juicio.

    Deja un comentario