Desarrollo y diseño

Me han hackeado Facebook mientras dormía.

1mP
1mP #1 Oct '22

Pues eso, me han hackeado Facebook y me he quedado un poco catacroquer porque no sé cómo cojones lo han hecho, os voy a explicar lo que ha pasado a ver si me podéis echar alguna luz (he podido recuperar la cuenta y la he borrado, porque ya no la uso para mucho.)

Primero he de contar que ya sabía que mi email había sido expuesto en Internet. He cambiado la contraseña de todas mis aplicaciones hace 2 meses con un generador de contraseñas, el KeePass, pero ya lo habia hecho con anterioridad.

Total, ayer o antes de ayer vi que Facebook me había enviado un mensaje a mi email (Outlook / Hotmail) que estaban intentando reestablecer la contraseña. No le di mucha importancia porque confiaba en que no iban a poder reestablecerla. Así que pasé. Hasta hoy, que me da por meterme en mi email y leer el mensaje de FB alertandome de que habian entrado en mi cuenta. Y no, no era un email de phishing ni nada por el estilo. Me habían cambiado la contraseña.

Empiezo a pensar que tenían acceso a mi email, porque si no, no lo veo posible. Pero no, mi pw del email no fue cambiada, miro los inicios de sesión y para mi sorpresa tengo, cada día, como 20 intentos de inicio de sesión o de sincronización. Me perturba pero a la vez me da paz, porque todos los inicios son incorrectos (lo intentan por el protocolo IMAP, alguno va a pelo con el Chrome y FireFox, etc...). Los inicios son de lugares tan variopintos como Pakistan, Vietnam, Bangladesh, Ucrania, España... Vamos, todo cristo.

Lo que no entiendo es cómo han podido cambiarme la PW sin poder acceder a mi email. Parece como si hubiesen adivinado el código qe envia FB al email.

Luego veo que en otro email qe tengo (Gmail) habia llegado una notificacion de reestablecimiento de contraseña xd. Voy a mirar los inicios de sesión de mi gmail y parece que nadie haya entrado, solo yo, por lo menos desde hace 28 días.

Y nada, vengo aquí a contar lo qe me ha pasado como desahogo y a ver si alguien podría mas o menos explicar como cojones han podido reestablecer mi contraseña de Facebook sin haber entrado al email (que yo haya visto, claro).

¿A alguien se le ocurre algo?

No sé ni qe pensar.

PD: los emails de FB q me llegaban era con el codigo de intentar cambiar la pw. De ahí mi mosqueo.

V
Vizerdrix #2 Oct '22

Me ha pasado lo mismo y me cambiaron las contraseñas en steam, wallapop, twitch y algun intento en facebook y youtube sin conseguirlo.
Tampoco entiendo qué pasa...todo en menos de 2 meses. De repente, ninguna contraseña ha sido cambiada y tampoco entraron a mi email, no se como lo han hecho y he perdido la cuenta de wallapop por baneo por actividad sospechosa desde paises remotos y la de steam la tuve bloqueada 2 semanas por seguridad por parte de soporte. Twitch cambie la contraseña de nuevo y ya está.

1 respuesta
MartiONE
MartiONE #3 Nov '22

https://haveibeenpwned.com/

1 respuesta
BaRtoZ
BaRtoZ #4 Nov '22

#1 #2 teníais la autentificación de doble factor en todas las cuentas que mencionáis? (2FA) Es el código que te mandan por SMS para verificar que eres tú.

A mí me han intentado jugarretas y demás, pero esque tengo el 2FA hasta en la sopa, por incómodo que sea.

Yo creo que la piratería está avanzando muchísimo más que la seguridad en estos últimos años, parece que el tema de las contraseñas está obsoleto. Ni el 2FA es seguro, muchos streamers/youtubers han sido hackeados con 2FA.

1 respuesta
V
Vizerdrix #5 Nov '22

#4 En efecto lo tengo puesto en todo, doble identificacion a SMS e email y alkgunas con el google identificator...y nada, pasan como si nada. Y de hecho cuando entro desde mi portatil o el movil en vez desde mi pc de mesa, SIEMPRE me llega un aviso al email de que se ha iniciado desde otro dispositivo. Cuando me han hackeado no salia este mensaje a pesar de que han entrado desde bulgaria, china, pakistan, etc...

1
xArtiic
xArtiic #6 Nov '22

A mi me pasa en mis cuentas de correo hotmail, intentan acceder desde esos países raros constantemente.

He puesto el acceso por doble auth, tengo la aplicación de microsoft en el móvil para permitir el acceso, pero da bastante miedo.

y34hl0ve
y34hl0ve #7 Nov '22 Inocente

Pues si ya se saltan el doble auth estamos todos jodidos xD

NueveColas
NueveColas #8 Nov '22

Edit: nada, leido y me ha dejado puzzled

1mP
1mP #9 Nov '22

#3 Si, ahi salgo que estoy en 14 hackeos + 1 paste. Lo que esta vez el paste lo leyó uno más listo que el resto.

perez_chuck
perez_chuck #10 Nov '22 Abe Sapien

A mí ayer me mandó un email Movistar de que habían accedido al router xD

Tengo id cambiado y contraseña personal del wifi, con wps desactivado. Pero lo que más me ha dejado tocado es que la propia movistar lo ha detectado y ha tomado las medidas oportunas... Teniendo las contraseñas etc cambiadas tanto acceso como wifi. Todo eso como 20min antes de llegar yo a casa.

No entiendo nada, pero por si acaso he vuelto a cambiar las contraseñas del wifi.

Respecto a facebook, hace unos meses supuestamente inicié campañas de beneficencia en Sudamerica, y alguna cosilla más xD
Pero hackeos reales de momento ninguno.

1 respuesta
JuAn4k4
JuAn4k4 #11 Nov '22

#10 Tienes aparatos en casa que se conecten a la wifi ? Royo termostato del chino, lámparas, persianas etc ? Son un back door interesante. Yo compré una cámara de vigilancia china en Amazon y entraban por ahí hasta la cocina.

1 respuesta
perez_chuck
perez_chuck #12 Nov '22 Abe Sapien

#11 Un altavoz de xiaomi que se usa a veces, pero no había nadie en casa en ese momento

1 respuesta
JuAn4k4
JuAn4k4 #13 Nov '22

#12 Aún estando en standby , puede estar conectados a la wifi y te atacan por ahí. Pero bueno es raro la verdad.

1 respuesta
perez_chuck
perez_chuck #14 Nov '22 Abe Sapien

#13 No no, se conecta cuando se usa, así que no creo que sea por ahí.
Mm hay una regleta wifi que se apaga por la noche automáticamente, reiniciando pues el ruter. Si tiene que ser algo ha de ser eso.

kassiusk1
kassiusk1 #15 Nov '22

Pero realmente creeis que se saltan el 2FA? No tendres los codigos en el google drive y el correo sin 2FA o algo por el estilo?

1 respuesta
1mP
1mP #16 Nov '22

#15 La única manera de que me hayan podido hackear que se me ocurre es que en una de esas de verificación en dos pasos, hayan spoofeado el email de facebook y me hayan enviado un mensaje identico al de 2FA y al entrar me lo haya comido, pero verifiqué que era la web de facebook antes de darle al link y no hubo nada raro. Lo raro es que ese día tenia 2 emails de Facebook pidiendome el codigo, entre en el segundo y tal.

Si ha sido así como digo, lo copiaron tremendamente bien, porque nunca me he tragado ningún email de phishing y eso q todos los dias me llega uno.

jose678
jose678 #17 Nov '22

No será que estáis infectados por troyano?
Hace poco sacaron mimikatz y no veas si esta dando guerra. Literalmente te roban todas las contraseñas almacenadas en el pc.

1 respuesta
y34hl0ve
y34hl0ve #18 Nov '22 Inocente

#17 Pero aún con eso no se deberían de poder saltar el doble auth

1 respuesta
jose678
jose678 #19 Nov '22

#18 roba los tickets de kerberos, hasta donde he interpretado puede suplantar la identidad de tu ordenador misma. Normalmente en facebook aunque tengas 2FA no te la pide cada vez que abres la web.

1 respuesta
y34hl0ve
y34hl0ve #20 Nov '22 Inocente

#19 Pues a tomar por culo, todos jodidos xD

smarquezp
smarquezp #21 Nov '22 Inocente

A mi de una me hackearon Instagram, Telegram e intentaban entrar en mi Gmail... Se saltaron todos los 2FA que tenía y lo único que veía era la sesión abierta desde Rusia, pero no me llegaron mensajes de doble autentitación ni nada. Es más, no me llegó mensaje ni de que habían accedido, por lo que pensé que también sería esto de que suplantaron la identidad de mi pc.

Tengo todas mis pw diferentes añadidas en Bitwarden y el 2FA de Authy + correo que me llegue cuando inician sesión, y aun así, se lo comieron. Ya tuve que cambiar todo porque estaba cagadito y formateo de ordenador por completo.

1
1 mes después
Nyhz
Nyhz #22 Dic '22

A mi me robaron el Instagram con 2FA, password generada por Bitwarden y email asociado con 2FA y password generada por Bitwarden. De un dia para otro, sin yo logear ni nada en ningún sitio. A día de hoy sigo pensando que se aprovecharon de alguna vulnerabilidad del propio Instagram.

1mP
1mP #23 Dic '22

Bastante curioso que esto se esté dando bastante más de lo que pensaba y parece que no se habla mucho de ello :/. Algo así supongo que se debería de hablarse en otros sitios.

B
[Borrado] #24 Dic '22

2fa y cambios de contraseña cada 1-2 años y au.

9 leaks y 0 cuentas robadas en un email que uso desde hace 15 años.

smarquezp
smarquezp #25 Dic '22 Inocente

Pues a mi no se como, pero de una me quitaron Instagram y Telegram, todavía no se como porque tenía 2FA también y ni me llegó un mensaje. Cuando me di cuenta cambié todas las pw y todo de nuevo, y lo único que se veía era la conexión desde Rusia, pero no me llegó ni un mensaje de logueo.

kidandcat
kidandcat #26 Dic '22 Gato Amable

Por mucho 2FA y 50 capas más que se tengan de protección contra el login, al final, si voy y te robo la cookie de sesión que tienes en tu navegador, entro tan pancho desde donde me de la gana sin que te enteres.

Cuidado con las extensiones de vuestro navegador sobre todo, que pueden hacer lo que quieran en la web que quieran.

1 1 respuesta
juss1
juss1 #27 Dic '22

#26 eso hace años que no es así, haz la prueba, pilla la cookie de gmail o face, metela en otro pc con una vpn para simular la conexion del atacante, veras que pasa.

El ataque que tu describes es muy del 2000

1 respuesta
kidandcat
kidandcat #28 Dic '22 Gato Amable

#27 Emm va a ser que no: 1er resultado de google https://news.sophos.com/en-us/2022/08/18/cookie-stealing-the-new-perimeter-bypass/
Te pongo un resultado de google para no empezar el típico desvarío de hilo, pero vaya, yo he hecho ese tipo de ataques hace menos de 3 meses, quizás has probado en algún servicio que bindeen las sesiones a las IPs, pero eso es una medida bastante incordiosa, ya que por ejemplo en el movil, pierde el wifi, te cambia la ip, y a tomar por culo la sesion.

Puedes robar cookies perfectamente, obviamente, si detectan una sesion desde españa, y de repente la misma sesion se intenta conectar desde china, pues down.

1 respuesta
juss1
juss1 #29 Dic '22

#28 he jugado mucho con las cookies, pruebalo tu mismo y no des por valido cualquier post random, veras que te detectan facil lo que comentas. Este ataque se superó hace años incluso usando conexiones de la misma ciudad, con cualquier servicio de vpn y dos pc puedes probarlo en 2 minutos

Hablo de cualquier servicio serio, gmail, twitter, face...la web de un random en php las cookies las clonas como quieras

1 respuesta
kidandcat
kidandcat #30 Dic '22 Gato Amable

#29 Una investigación de Sophos te parece un "post de un random"? no se si me estas vacilando... o solo te has leído la URL
En fin, te pasé un ejemplo, tienes un millón de articulos oficiales, el hijacking robando cookies pasa a cada hora, y afecta a cualquier servicio: https://blog.google/threat-analysis-group/phishing-campaign-targets-youtube-creators-cookie-theft-malware/

Youtube tambien te parece "la web de un random en php"?

1 respuesta

Usuarios habituales

  • 1mP
  • juss1
  • kidandcat
  • y34hl0ve
  • jose678
  • perez_chuck
  • JuAn4k4

Tags