Me han hackeado la cuesta de hotmail / Xbox y Microsoft suda del tema.

Responder
1, 2
chirurico escribió:
AxelStone escribió:Joder si decís que incluso con 2FA llegan a hackear, aquí hay un problema gordo. Es que hay dinero en juego, en toda tu biblioteca digital, y peor aún archivos en tu nube que pueden ser muy importantes.

No. Con 2fa no te hackean a menos que te dediques a autorizar sin mirar.
por cierto, aunque tengas 2fa (que está genial) si te roban la sesión (robo de cookies o sistema similar) pueden saltarse la verificación en dos pasos porque no se la van a pedir al ladrón.


@jmjayme

Correcto, yo también guardaba las contraseñas en el navegador. Gracias a Dios nunca me paso nada, pero tiene el riesgo de que como entren en tu navegador....tiene todo todo a placer.

Como consejos para el resto de compañeros, cosas que dan seguridad y no cuesta demasiado trabajo estar pendiente:

1. Como dice el compañero nunca guardar contraseñas en el navegador. Al igual que el compañero, yo las tengo en una libreta.

2. Verificación en dos pasos y si puede ser mediante llave de acceso (la huella 🫆 de tu móvil) mejor que mejor por seguridad.

3. PayPal, tu banco, play y Xbox (similares que uséis que queráis que este seguro) nunca entres desde el navegador. Todas tienen app; poner verificación en dos pasos y luego de cada uso, cerrar la sesión en la app.

4. Si por cualquier cosa necesitas entrar en navegador, entra como ventana de incógnito. En el momento de cerrar la pestaña, se eliminan las cookies y cierra la sesión automáticamente. Esto es verdaderamente útil para que nos os hagan el lío, hackeando y accediendo a vuestras cookies del navegador.

Si os roban las cookies del navegador , pueden entrar saltándose la verificación en dos pasos que tengáis porque es como si fuerais vosotros con una sesión ya abierta. Este punto es el que posiblemente le suceda a los compañeros que han dicho que tenían 2fa y que nunca les saltó el acceso cuando entró el hacker.

5. Recomendable aunque no sirve para proteger la cuenta, sino tú dinero, usar tarjeta monedero; recarga lo que necesitas y luego la dejas a cero. Si te roban la cuenta, al menos, proteges tu dinero.

6. Añado un punto más. Si usas tú pc para jugar por los mares del sur con el parche del ojo NUNCA accedáis a webs del punto 3 en vuestro pc. Aunque os cuelen algo, nunca podrán acceder a tus datos importantes. Sed más inteligentes que ellos y si hacéis eso, solo usar el pc para ello y navegar por sitios que no sean importantes. Usad la app del móvil para todo lo importante que queráis salvaguardar.

Creo que no se me olvida nada importante, pero haciendo eso, estáis casi al 100% seguros. El 100 nunca se puede conseguir
Me pasó lo mismo que comentáis.

Robo de cuenta de hotmail y me compraron cosas para Roblox por valor de 100e que tenía en la cartera de Microsoft y me gastaron unos 60e de puntos rewards en Roblox tmb.

Los 100e fueron devueltos rápido, pero los rewards soy incapaz que me los devuelvan ni a través de Microsoft ni a través de Roblox. Alguien lo ha conseguido?
Una pregunta los que habéis tenido el robo del correo de hotmail, jugáis a Roblox?
GothicDarkness escribió:Una pregunta los que habéis tenido el robo del correo de hotmail, jugáis a Roblox?


Nunca he tocado el Roblox.
Bueno señores, pues por fin me llego el correo esperado.

Me han dicho que me cree una nueva cuenta de correo y que no me de de alta en ningun servicio de Microsoft (incluido Xbox) porque van a proceder a transferir mis cosas.

Es decir, pierdo mi cuenta antigua pero me transfieren todo a una nueva. Lo malo es que el correo antiguo aunque ya lo he cambiado en muchos sitios, en foros como este lo sigo utilizando por ejemplo, pero no importa porque solo es un foro xDDD.

Ya os dire cuando me transfieran todo pero pinta bien la cosa.
@NosferatuX

Me alegro mucho company.
Las cosas de Palacio van despacio,lo importante es que se muevan. [beer]
Me alegro, compañero.
La cantidad de verificaciones que hay que hacer es tremenda. Ahora hay que poner medidas para que no vuelva a pasar.
Pues ya esta, 1 dia despues del aviso de la transferencia de datos ya me han devuelto todo.
Evidentemente el correo anterior lo pierdo, me han dicho que queda totalmente suspendida esa cuenta pero en el nuevo correo han mantenido mi Gamertag, sigo conservando el gamepass ultimate hasta diciembre, y hace un rato no podia ver mi biblioteca de juegos pero ahora si.

La transferencia total me han dicho que es de 24 horas, si pasadas esas 24 horas me falta algo (juegos, logros, suscripciones y tal) que les avise, pero de momento va rulando bien.

Que alegron gente, tengo una biblioteca de 1280 juegos, compartidos eso si, pero con que "solo" 500 sean mios ya os imaginais el dinero invertido.

Bueno, si me disculpais voy a meterle proteccion 2 pasos, huella digital y lo que sea a la nueva cuenta. Un saludo a todos y gracias por los animos y por la informacion, hubo un enlace en la primera pagina de otro chico en reddit que es el que he seguido con insistencia xD.
@NosferatuX enhorabuena tío. La insistencia ha tenido sus frutos.

Ahora como dices, protégela bien y a disfrutar👍👍

Te recomiendo que lo pongas con llave de acceso. Es la huella biométrica en el móvil para entrar a la cuenta. Es lo más seguro a nivel de protección.

En el caso de la Xbox tendrás que hacer un captura de código QR cuando vayas a entrar por primera vez con el móvil y acto seguido entras a ese enlace que te marca el lector QR y metes la huella y ya te olvidas.

Un saludo, compañero.
La verdad es que se han portado. En otras marcas seguramente te dirían que te comieras los mocos. No pensé que te devolverían incluso los logros. :O

Un 10 por Microsoft.
@NosferatuX Como me alegro que todo haya acabado bien.
fofielnegro escribió:
LifeWeaver escribió:
fofielnegro escribió:A mi el dia 9 de este mes, detecto que han canjeado mis rewards por 2000 puntos de Roblox,igual que veo que han tramitado rembolsos de mis ultimas compras y este saldo se lo vuelven a gastar en Roblox.

A todo esto uso la verificacion de dos pasos y el Authenticator, en ningun momento me llega notificaciones de intentos de iniciar sesion ni para aprobar.

Por la mañana hablo con el soporte y via telefonica me rembolsan todo lo que han comprado con saldo( no saben ni como explicarme coml aceptaron remboslsos de compras que hice en Noviembre y mas de 20 horas jugadas en algunos de los casos)

Desde el 9 sigo peleando con ellos por los puntos rewards, ya que muchos de ellos se han generado con compras del bazar.

La verdad que decepcionado con esta gente, a mi hasta me huele que puede ser alguien desde dentro, no me entra en la cabeza como me han rembolsadi juegos comprados hace 5 meses asi como asi... y no estoy tranquilo la verdad.


Tienes la cuenta sin contraseña en con el Authenticator? Yo la tengo así, osea que solo puedes acceder dando el permiso tú en el móvil. Si lo tienes así, y aún y así han podido entrar... que bien y que seguro todo.


Exacto, lo tengo asi y me entere de casualidad mirando esa noche mi correo de hotmail, sino no me entero en par de dias.

Me reconocieron de soporte que se saltaron la seguridad y fue todo rapido.

El tema los rewards, solo me dan respuestas genericas.

Lo peor es que temo que en X meses vuelva a pasar lo mismo, igualmente estoy redactando una reclamacion por lo sucedido. Encima le sumamos que veo que hay casos muy similares de otros usuarioa.



Pues es acojonante.

SI consiguen acceder a una cuenta que tiene activada la autenticación en 2 factores, la sensación de que somos vulnerables es bestia....
Por favor, leed bien y leed todo.
No se han saltado los dos factores. Se ha dicho varias veces.
A los que apuntáis las pw en una libreta echadle un ojo a keepass.

Es un gestor de contraseñas open source que si lo configuráis bien es inhackeable. Te genera las contraseñas aleatorias, guarda todo, autocompleta, te puedes importar las que tengas en el navegador u otros programas....

Te puedes hacer una base de datos con las contraseñas y otra con los 2fa. Se pueden abrir remotamente desde el móvil si lo cuelgas en algún servicio de nube.... todas las opciones que se te ocurran.
Yo uso la versión de pago de 1password desde hace varios años.
Hay varias opciones muy buenas en el mercado.
NosferatuX escribió:Pues ya esta, 1 dia despues del aviso de la transferencia de datos ya me han devuelto todo.
Evidentemente el correo anterior lo pierdo, me han dicho que queda totalmente suspendida esa cuenta pero en el nuevo correo han mantenido mi Gamertag, sigo conservando el gamepass ultimate hasta diciembre, y hace un rato no podia ver mi biblioteca de juegos pero ahora si.

La transferencia total me han dicho que es de 24 horas, si pasadas esas 24 horas me falta algo (juegos, logros, suscripciones y tal) que les avise, pero de momento va rulando bien.

Que alegron gente, tengo una biblioteca de 1280 juegos, compartidos eso si, pero con que "solo" 500 sean mios ya os imaginais el dinero invertido.

Bueno, si me disculpais voy a meterle proteccion 2 pasos, huella digital y lo que sea a la nueva cuenta. Un saludo a todos y gracias por los animos y por la informacion, hubo un enlace en la primera pagina de otro chico en reddit que es el que he seguido con insistencia xD.

Enhorabuena
devh escribió:A los que apuntáis las pw en una libreta echadle un ojo a keepass.

Es un gestor de contraseñas open source que si lo configuráis bien es inhackeable. Te genera las contraseñas aleatorias, guarda todo, autocompleta, te puedes importar las que tengas en el navegador u otros programas....

Te puedes hacer una base de datos con las contraseñas y otra con los 2fa. Se pueden abrir remotamente desde el móvil si lo cuelgas en algún servicio de nube.... todas las opciones que se te ocurran.



Gracias, pero si la gente lo apunta en una libreta es pa no dejar ningún rastro digital. Todo se puede hackear al final, romper o saltar los muros.
GothicDarkness escribió:
devh escribió:A los que apuntáis las pw en una libreta echadle un ojo a keepass.

Es un gestor de contraseñas open source que si lo configuráis bien es inhackeable. Te genera las contraseñas aleatorias, guarda todo, autocompleta, te puedes importar las que tengas en el navegador u otros programas....

Te puedes hacer una base de datos con las contraseñas y otra con los 2fa. Se pueden abrir remotamente desde el móvil si lo cuelgas en algún servicio de nube.... todas las opciones que se te ocurran.



Gracias, pero si la gente lo apunta en una libreta es pa no dejar ningún rastro digital. Todo se puede hackear al final, romper o saltar los muros.


Imagen

No. Una contraseña de 15 caracteres mezclando todo lo disponible es en la práctica irrompible.
Otra cosa muy distinta es si se almacena esta contraseña en sitios online y estos son hackeados. Pero si esta contraseña la usas solo para este programa con tener "apuntada" esta contraseña en tu libreta, tendrías todas las demás a salvo.

Lo que hacen normalmente no es robarte la contraseña, es entrar por phising o ingenieria social a tu correo y desde ahí resetear tus contraseñas de los sitios en los que tengas registrado ese correo como usuario.

Como te digo con este programa, o similares, puedes generar contraseñas inhackeables, todas distintas por si algún sitio es comprometido y almacenarlas ahí con una contraseña única, con una llave electrónica, con ambas....
devh escribió:
GothicDarkness escribió:
devh escribió:A los que apuntáis las pw en una libreta echadle un ojo a keepass.

Es un gestor de contraseñas open source que si lo configuráis bien es inhackeable. Te genera las contraseñas aleatorias, guarda todo, autocompleta, te puedes importar las que tengas en el navegador u otros programas....

Te puedes hacer una base de datos con las contraseñas y otra con los 2fa. Se pueden abrir remotamente desde el móvil si lo cuelgas en algún servicio de nube.... todas las opciones que se te ocurran.



Gracias, pero si la gente lo apunta en una libreta es pa no dejar ningún rastro digital. Todo se puede hackear al final, romper o saltar los muros.


Imagen

No. Una contraseña de 15 caracteres mezclando todo lo disponible es en la práctica irrompible.
Otra cosa muy distinta es si se almacena esta contraseña en sitios online y estos son hackeados. Pero si esta contraseña la usas solo para este programa con tener "apuntada" esta contraseña en tu libreta, tendrías todas las demás a salvo.

Lo que hacen normalmente no es robarte la contraseña, es entrar por phising o ingenieria social a tu correo y desde ahí resetear tus contraseñas de los sitios en los que tengas registrado ese correo como usuario.

Como te digo con este programa, o similares, puedes generar contraseñas inhackeables, todas distintas por si algún sitio es comprometido y almacenarlas ahí con una contraseña única, con una llave electrónica, con ambas....


Con lo que has mencionado, ingeniería social, ya estás perdido. Al final eso es lo mejor para hackear a un usuario
chirurico escribió:Yo lo primero que tendría es cierta higiene de seguridad con mi cuenta de correo. Chequead aquí y os dirá el estado https://haveibeenpwned.com/
Y lo siguiente sería configurar el segundo factor de autenticación, a ser posible la cuenta sin contraseña (passwordless) y validación a través de authenticator u otro método de MFA. Con eso es prácticamente IMPOSIBLE que os hackeen la cuenta. Yo no sé como alguien puede vivir tranquilo en Xbox o cualquier consola online sin configurar estas opciones.
Ahora, dicho esto, si luego sois de los que comparten la cuenta con no se quien, la usan para apuestas de puntos del FIFA, del Fornite, para que te suban el nivel en no se donde, quieren jugar a los juegos de PC piratas con los parches llenos de malware, aprueban las peticiones del MFA sin verificar porque lo tienen compartido con gente y esas inconsciencias que hacen algunos, pues luego no os echéis las manos a la cabeza cuando os pasen cosas porque os las estáis ganando a pulso. Sed más inteligentes que los ladrones.

Dicho esto, luego para las compañías es bastante difícil identificar si tu eres el verdadero propietario para recuperar la cuenta o el enésimo jeta intentando hacer ingeniería social. Los medios de compropbación han de ser muy estrictos y dar muchas garantías, porque como luego alguno llame a Valve o Epic o quiien sea y le hagan ellos mismos el cambio a alguien que no sea el verdadero propietario, entonces ya tenemos la fiesta montada y las quejas serían "Los de Steam le han dado acceso a mi cuenta a otro" cosa que por cierto dificilmente nos enteraríamos si estuviera sucediendo.
Es una porquería de mundo, pero el cibercrimen está a la orden del día y es responsabilidad de todos poner de su parte para combatirlo, y el primero el propio usuario.

Ojo con eso porque se obvia mucho.
- Compartís cuenta? Porque igual es fallo de seguridad de la otra parte (virus, descuido, etc.).
- Usáis juegos o apps piratas? Porque nadie regala nada y pueden venir con "regalito". No necesitan ni permisos de administrador porque les vale esnifar las cookies de tu usuario, a lo cual se tiene acceso con tus credenciales de usuario no administrador.
- Usáis el móvil "rooteado"? Porque así malware introducido en apps (que sea de la store no se salva, ya no digamos de stores alternativas) puede acceder a lo que sea, incluyendo tus claves de acceso.

Así un largo etc. Flipo por ejemplo con el ya clásico consejo de entrar en Windows sin contraseña, y que no te pida la de administrador para nada. Toma ya. El caso es que hay hasta gente que lo pone así. Un ordenador con la de datos sensibles que maneja.
Hola acabo de recibir este correo a ver qué os parece


Equipo de cuentas Microsoft • account-security-noreply@accountprotection.microsoft.com

Hemos recibido tu solicitud de un código de un solo uso para usarlo con tu cuenta Microsoft.

Tu código de un solo uso es: xxx

Escriba solo este código en un sitio web o aplicación oficial. No lo comparta con nadie. Nunca lo pediremos fuera de una plataforma oficial.

Gracias,
El equipo de cuentas Microsoft
Declaración de privacidad:



Yo no he pedido nada,que significa esto

EDIT:he revisado el historial de conexiones y no hay nada fuera de lo normal
@Razus90 Parece legitimo. Si sabes a ciencia cierta que no has sido tu u otra persona donde puedas tener tu cuenta (una Xbox secundario o algo así), para quedarte mas tranquilo cambia la contraseña y vuelve a activar la verificación en 2 pasos. Ah, y si sospechas, cierra sesión en todos los dispositivos desde tu cuenta de MS.
@Alizee que va no hice nada,solo vi el mensaje y ya no me fiaba,me metí en mi cuenta de Microsoft y revise conexiones etc y no había nada,por lo tanto no sé qué pueda pasar pero haré eso y cambiaré la clave,también tengo para entrar con la huella
73 respuestas
Responder
1, 2
Volver a General