El plug-in de Cuevana.tv está robando contraseñas de los usuarios

#101   #97 Hola por la carretera!

Llevo aqui desde el 2008 y me gusta bastante mas el sistema de reportes de FC y más con cuenta de registro cerradas. Aqui los trolls campan a sus anchas, envian unas noticias y ya tienen karma 16. DetectiveLibrero por ejemplo...un troll mítico de aqui (casi a la altura de Sinnerman )

En FC la cagas una vez y adios cuneta.

#102   A mí lo que me llama la atención es que nadie lo confirma. ¿No se pueden fijar en sus computadoras si tienen el plugin infectado con el script?

#103   #101 FC es grande shurhand!. Yo ya hice mi cometido aqui, por lo demas... vendo opel... digo.. vendo cunetas de FC, contactad conmigo.

Mis dies shurmano. (no puedo ni votarte positivo, pero que mierda es esta?, esta web es demigrante, me vuelvo a mi cueva)

#104   Y lo peor es que el servicio es una mierda. Casi todo el contenido se cae enseguida y los servidores no los conoce ni el tato. Esa página funcionaba con Megaupload.

#105   No entiendo nada.

Por qué no usa torrents todo el mundo?

#106   #87 Lo único que digo es que la gente que se escuda en la difusión de la cultura para descargar series, películas, música, etc casi al día pero que únicamente usa descarga directa, streaming etc, mientras no comparte nada teniendo la posibilidad y capacidad de hacerlo son o hipócritas, egoístas o directamente mentirosos, pues al final lo que les importa es solo su cultura, su ocio. Ni una nimia ayuda a los demás.

#107   #100 Tanto da que da lo mismo

#99 No es que el código tuviese un bug como lo tienen muchos programas y que es algo inevitable sino que el código estaba bien hasta que un despistado de Debian se cargó una línea que antes estaba ahí para generar entropiá.

Alguien la borró por accidente y lo cierto es que es más fácil detectar un fallo tonto como es la ausencia de una línea de código que antes estaba ahi por razones obvias que código malicioso que por definición estará lo más oculto y enrevesado como sea posible para pasar desapercibido.

Para estar tan revisado ese código nadie se dio cuenta de que alguien por error se cargó una línea y por esa regla lo mismo la borran por error como la insertan por maldad.

#108   Vaya hombre, ahora sí que se publica un artículo que se salta el ban a Forocoches, no? Hace unos meses hicieron lo mismo con otro tema y no sólo los admins tumbaron el meneo con la excusa de que se saltaba el ban a FC sino que encima nos masacraron a negativos a los que nos quejamos por ello. Viva el doble rasero de Menéame.

Y mis dies por el usuario de FC que lo detectó. Sos groso.

#109   En serio, fíjense:

En windows:
/Users/usuario/Datos de programa/Mozilla/Firefox/Profiles/xxxxxx.default/extensions/

En linux:
/home/usuario/.mozilla/firefox/xxxx.default/extensions/

descomprimen los archivos .xpi como si fueran .rar y en todas las carpetas, buscan una que tenga el archivo /content/script-compiler.js

ese archivo, primero se fijan la fecha de creación (el mío es del 26 de abril) y luego adentro del archivo buscan si tienen una función que empieza con "eval(" que es de la que habla el artículo.

Veamos si tienen versiones viejas del plugin y si ALGUIEN tiene la supuesta infección. Sino puede tratarse de un HOAX en contra de cuevana.

#110   #109 mira en #76. Su owned gracias. (lo de la fecha de creación es una soberana gilipollez). En serio, informate un poco antes de decir estupideces.

Donde cojones estan los reportes en esta demigracia de web!

#111   #5 thepiratebay.se

#112   ¿Alguien que entienda como funciona el código malicioso? ¿En serio es posible simplemente copiar la entrada de un formulario marcado como "password"? Yo hubiera esperado una capa invisible o algo así... Estoy

#113   #110 por qué la agresividad roto_2?

cualquiera puede crear un archivo editado, subirlo a sendspace y decir "este es el original". No te estoy acusando de nada, pero no te conozco.

Además, aunque no sea el caso y realmente tengas el archivo infectado, estamos queriendo encontrar confirmación de otras personas. Y ver si es un problema que afecta a todos o por ejemplo sólo a los que se instalaron el plugin hace poco. Yo por ejemplo no tengo archivo infectado ni en linux ni en windows. Por eso preguntaba las fechas de los archivos

#114   #110 puede ser que ellos mismos hayan puesto el código malicioso, o que le hayan modificado el archivo terceros. No sería la primera vez que pasa. Sos hacker, agarrás y buscás algun addon popular de firefox, y tratás de infectarlo. Mientras los dueños no se den cuenta, infectás a un montón de usuarios.

No se puede decir tan a la ligera "cuevana roba contraseñas, desinstalen el plugin y no entren nunca". Si no tenés el plugin infectado, no hace falta desinstalarlo.

#115   #113 ¿Te vale un video?: youtu.be/ppbsu_IXimI

#116   #113 El sitio "cuevanatv.asia" estaba funcionando hasta hace un par de horas y tenía el código malicioso. Pero como tu dices, sería bueno saber si todos los PC tenían el código malicioso, o si la infección es reciente. Sí la infección tiene mucho tiempo, es Cuevana el primer sospechoso, si es reciente podría ser un ataque.

#117   ATENCIÓN: la prueba de que esto ha ocurrido:

youtu.be/ppbsu_IXimI

Mirad el vídeo, EL USUARIO DESCARGA EL PLUGIN DIRÉCTAMENTE DE CUEVANA.

#118   #107 Busca un caso que saliera en un release con codigo malicioso intencionado o un troyano y luego hablamos.

#119   #115 el video ese se podría falsear en caso de que sea un hoax, y en caso de que no lo sea, no diferencia si fueron ellos mismos o si los hackearon. Tampoco demuestra si es una infección que afecta a todo el mundo o sólo a unos pocos, que es lo que estoy intentando averiguar.

#116 exacto.

#120   #28 Hay gente que no nacimos tan listos pero nos hemos dado contra cierto muro alguna vez y hemos aprendido de ello. Como instalar SW gratuito que resultaba contener AdWare o SpyWare entre otras cosas. Al final aprendes y ya sospechas de entrada y te das cuenta que si compras un SW probablemente ésta gente que tiene montada una empresa no te va a meter un virus (al menos no intencionadamente), pero si te lo dan gratis tal vez quieran alguna otra cosa a cambio.

Yo cuando pillo plugins para FF me lo miro bien y me fijo en que sea un plugin conocido y usado por mucha gente, cuanta más gente lo use menos probabilidad de que estén haciendo algo malo, y sino, prefiero no tener plugin a arriesgarme.

Por otro lado, suelo recomendar a mis conocidos que tengan cuidado con qué instalan, sobretodo con eso de los plugins para FF o programas como el Messenger (cuando era popular), o usar distintas contraseñas según si es una web fiable o una menos de fiar (nada les impide probar tu email y contraseña si es el mismo que usas para acceder a su página), pero al final cada uno hace lo que le da la gana. Pues muy bien, pero al menos no os justifiquéis con que "le puede pasar a cualquiera", no perdona, a cualquiera no.

#121   #119 Es que por esa regla de tres, TODO se podria falsear.

#122   #0 Se supone que el Plug-in funcionaba de forma autónoma, guardando todos los datos de forma contínua, o únicamente cuando se activava para visualizar contenidos en Cuevana.tv?

#123   yo tb he hecho un whois, info interesante que voy encontrando
Created by: Gandi SAS R102-ASIA

he buscado otros dominios creados por estos y he encontrado estos:
fealk.asia
dahan.asia

#124   #122 De forma continua.

#125   #51 "Que tu lo sabes. Que tu lo has visto. Que la web ya está 100% preparada para funcionar sin plugins. "

Más de lo que crees, con HTML5 y Ajax.

#126   #124 ¿Te puedo remitir mi pregunta en #112?

#127   #103 #97 que es FC???

#128   #58 Yo me he bajado el de Firefox:

hxxp://www.cuevana.tv/player/plugins/cstream-4.2.xpi

Y no tiene codigo malicioso

#129   #16 Lo de que esto sea un motivo para usar aplicaciones P2P me parece mal argumento ya que en todo caso sería al revés; La absoluta mayoría webs de enlaces no necesitan de un plugin mientras que cualquier aplicación p2p es un ejecutable y suele correr por las redes p2p un cantidad inmensa de malware.

Dicho esto, no estoy en contra del P2P ni muchísimo menos. Pero no creo que el malware sea un factor favorable al P2P.

#130   #129 Es bastante complicado pillar malware usando aplicaciones P2P libres descargadas de fuentes fiables para bajarse datos no-ejecutables (léase: vídeos).

Otra cosa muy diferente es bajarse cracks y keygens para el último software de moda con una aplicación P2P bajada de a saber dónde.

#131   #130 Es que siguiendo ese método de descargarse datos no-ejecutables (léase: videos) sólo de fuentes fiables es también bastante dificil bajarse malware de sitios de enlaces y de streaming.

#132   #97 o alguien tiene invitas para FC???? Intercambio si quereis por series.ly, demonoid...
Yo por si acaso he desinstalao el plugin aunque en cuevana entraba más bien poco.

#133   #131 No, porque te pueden colar un enlace malicioso que te la puede liar gorda, con malware o links enmascarados en la URI.

#134   Cuevana dice que va a investigar el posible robo de datos.
twitter.com/Cuevana/status/247490958697041920
twitter.com/Cuevana/status/247491452790259712

#135   He analizado el código fuente instalado en mi propia computadora hace tiempo (más de un mes) y la versión modificada y efectivamente se observa la diferencia en el código fuente. Aparte de la resp. obvia de que Cuevana podía estar espiando a los usuarios, también podría indicar que alguien ingresó al servidor de Cuevana y modificó el código fuente del plugin. No sería la primera vez.

Aquí pueden ver las diferencias de los dos scripts (el publicado hoy y el que tenía instalado yo):
blog.segu-info.com.ar/2012/09/el-plug-in-de-cuevana-roba-informacion.h

#136   #131 No si necesitas un plugin como es el caso.

#137   #133 Pero eso te puede suceder en casi cualquier sitio, desde Google a menéame. No es un argumento que se pueda achacar sólo a las llamadas "webs de enlaces".

#136 Lo que dices no entra dentro del razonamiento del que hablabamos (sitios fiables y archivos no ejecutables); Un plugin ya es una instalación en local y no sólo se trata de un enlace de cuevana sino que el plugin está alojado en cuevana.tv y no es por tanto un plugin validado por mozilla. Por lo tanto no parece que hablemos de un sitio especialmente fiable para instalar nada. De hecho hablamos de una web argentina sin ningún tipo de aviso legal y que en España no cumpliría la ley de servicios de la información, ni tampoco creo que cumpliese con las normas de protección de datos en España.

#138   #118 ¿Y tú puedes buscarme algún caso en el que saliera algún código malicioso intencionado en una release de windows?

No son esos supuestos miles de ojos lo que lo impiden, ni tan siquiera el tener el código fuente. Es el propio equipo de la distribución o empresa y la reputación que tienen lo que lo impide porque ellos no se la jugarían a meter código malicioso y detectan las intrusiones ajenas para que otros tampoco lo hagan.

Hablaste en otro comentario de la intrusión en Apache. No fueron los miles de ojos quienes la descubrieron sino el equipo de Apache y ni siquiera lo hicieron leyendo código sino registros de acceso. El código por leer no lo leyeron ni para reparar el supuesto daño causado sino que simplemente tiraron de copias no comprometidas.

¿y qué pasa cuando el equipo falla? que borran unas líneas y miles de ojos ni se enteran. ¿Y cuando prescindimos de él? que un tercero programa y sube plugins que en realidad son malware a la web de mozilla y miles de ojos no se enteran hasta que hay miles de infectados.

Los miles de ojos ni son tantos ni tan buenos. De hecho ni siquiera tener el código marca tanta diferencia cuando la mayoría de estos casos son detectados a base de estudiar el comportamiento de la aplicación como en el caso del meneo y no a base de leer código.

#139   Y qué hay del plugin de MonsterDIVX que tiene pinta de ser muy parecido al de CuenvaTV?:

* www.monsterdivx.com

#140   #138 El propio windows esta comprometido, el supuesto bug WMF fue puesto como una backdoor por más de un experto en seguridad, puede ser verdad o mentira pero poca gente duda es que windows tiene un backdoor creado para dar acceso especial a la NSA y al FBI.
Ya sea en Facebook o otras redes tambien solicitan y obtienen entrada especial para todos tus datos (datos online), windows no iba a ser menos.

Pero lo peor es eso que es indemostrable, yo te puedo demostrar que Apache esta limpio o esta comprometido pero de Windows es casi imposible de demostrar ni una cosa ni otra.

Lo que esta claro que si te importa tu privacidad y dependiendo de tu nivel de privacidad que quieras hay cosas que son una estupidez instalar, desde ese plugin (para mi era evidente), o crearte una cuenta FB o mismo instalar Windows.

No intento cambiar opinión de nadie, cada cual decide.

#141   #140 Añado.

Cuando digo que lo del plugin era evidente, no quiero decir que era evidente que iba a robarme algo, si no que era evidente que era un riesgo alto instalarlo "en mi medidor".

Pudiendo estar equivocado o no.

#142   #140 Sí, demonios, incluso OpenBSD estuvo bajo sospecha: www.google.com/search?q=openbsd+fbi+backdoor

Al rato de escribir esa pregunta me arrepentí porque sabía que nos íbamos a desviar por estos caminos.

No apuntes tan alto que si la NSA se mete por medio "miles de ojos" no podrán encontrar el backdoor que metan en linux, en todo caso los responsables de cada distribución podrán asegurar que nadie más que gente de confianza ha metido código ahí y por tanto no hay backdoors. Pero ni así, aunque no haya backdoors, si la NSA quiere entrar en tu ordenador no podrás evitarlo así que no apuntes tan alto.

Te cambio la pregunta ¿cuantas veces esos miles de ojos encontraron un backdoor en una release, prerelease, beta o el estado que tú quieras?

No son los miles de ojos quienes lo evitan sino los responsables de cada proyecto.

En cuanto al plugin, no hay duda de que se corría mucho riesgo instalándolo.

#143   #30 Tenías razón

"ATENCION: Lamentablemente, parece que Cuevana puede haber sufrido una brecha de seguridad. Si instalaste el plugin de Cuevana para Firefox recientemente, por favor actualízalo. Por precaución también te recomendamos cambiar las contraseñas de tus accesos web. Informaremos más cuando tengamos novedades."