জনপ্রিয় সিনেমা এবং সিরিজের সাবটাইটেল সাইট, OpenSubtitles এই সপ্তাহে তার ব্যবহারকারীদের কাছে ঘোষণা করেছে যে এটি একটি হ্যাকার দ্বারা আক্রান্ত হয়েছে, হ্যাকার অনলাইন ডাটাবেস ফাঁস করার পর মঙ্গলবার, 18 জানুয়ারী ব্যবহারকারীদের সতর্ক করেছে।
তাদের ফোরামে একটি ব্লগ পোস্টে, সাইট টিম প্রকাশ করেছে যে গত আগস্টে টেলিগ্রামের মাধ্যমে একজন হ্যাকার তাদের সাথে যোগাযোগ করেছিল তাদের জানাতে যে এটি ইমেল এবং আইপি ঠিকানা, ব্যবহারকারীর নাম এবং পাসওয়ার্ড সহ প্রায় 7 মিলিয়ন ব্যবহারকারীর ডেটা অ্যাক্সেস করেছে।
যারা OpenSubtitles এ নতুন তাদের জন্য, আপনার এটি জানা উচিত একটি খুব জনপ্রিয় পরিষেবা যা সিনেমা এবং সিরিজের জন্য সাবটাইটেল ফাইল অফার করে. পরিষেবাটি "opensubtitles.org" এবং "opensubtitles.com" ডোমেনের মাধ্যমে অ্যাক্সেসযোগ্য, যেখানে এটি একটি আলোচনা ফোরাম বজায় রাখে।
প্রশাসকদের বার্তা অনুযায়ীসাইটের s হ্যাকাররা 2021 সালের আগস্টে ব্যবহারকারীর ডাটাবেস অ্যাক্সেস করতে সক্ষম হয়েছিল। যেহেতু অপারেটরদের OpenSubtitles মুক্তিপণ দাবী সাড়া না, অ্যাক্সেস ডেটা এখন ইন্টারনেটে উপস্থিত হয়৷ দলের মতে, ব্যবহারকারী ডাটাবেসে মাত্র 6,7 মিলিয়ন এন্ট্রি রয়েছে।
ফিল্টার করা প্যাকেটে একটি MD5 হ্যাশ আকারে ইমেল ঠিকানা, আইপি, ব্যবহারকারীর নাম, ব্যবহারকারীদের মূল দেশ এবং পাসওয়ার্ড রয়েছে। দলটি স্বীকার করেছে যে সাম্প্রতিক বছরগুলিতে নিরাপত্তা জোরদার করার জন্য খুব কমই করা হয়েছে, যা আক্রমণকারীকে একটি সুপার অ্যাডমিনিস্ট্রেটরের অনিরাপদ পাসওয়ার্ডের সাথে আপস করার পরে একটি এসকিউএল ইনজেকশন সঞ্চালনের অনুমতি দেয়।
“আগস্ট 2021 সালে, আমরা একজন হ্যাকারের কাছ থেকে টেলিগ্রামে একটি বার্তা পেয়েছি, যিনি আমাদের দেখিয়েছিলেন যে তিনি opensubtitles.org ব্যবহারকারীর টেবিল অ্যাক্সেস করতে সক্ষম হয়েছেন এবং একটি SQL ডাম্প (কাঁচা ডেটার একটি অনুলিপি) ডাউনলোড করেছেন। জনসাধারণের কাছে এটি প্রকাশ না করার জন্য তিনি বিটকয়েনে মুক্তিপণ দাবি করেছিলেন এবং ডেটা মুছে ফেলার প্রতিশ্রুতি দিয়েছিলেন। আমরা খুব কমই মেনে নিলাম, কারণ এটা সামান্য পরিমাণ অর্থ ছিল না। তিনি আমাদের জানান কিভাবে তিনি অ্যাক্সেস পেতে পারেন এবং আমাদের ত্রুটি ঠিক করতে সাহায্য করেছেন৷ প্রযুক্তিগতভাবে, তিনি একটি সুপার অ্যাডমিনের অনিরাপদ পাসওয়ার্ড হ্যাক করতে পেরেছিলেন, "টিমের পোস্টটি পড়ে।
"আমার কাছে একটি অনিরাপদ স্ক্রিপ্ট অ্যাক্সেস ছিল, যেটি শুধুমাত্র সুপার অ্যাডমিনদের কাছে উপলব্ধ ছিল৷ এই স্ক্রিপ্টটি তাকে এসকিউএল ইনজেকশন করতে এবং ডেটা বের করার অনুমতি দেয়,” পোস্টটি বলেছে। গত আগস্টে, 11 জানুয়ারী, 2022-এ হ্যাক করা ডেটার কোনোটিই ফাঁস না হলেও, OpenSubtitles "মূল হ্যাকারের অবদানকারী" থেকে আরও চিঠিপত্র পেয়েছে, যিনি একই ধরনের অনুরোধ করেছিলেন। প্রাথমিক হ্যাকারের সাথে সাহায্যের জন্য যোগাযোগ করা যায়নি, এবং 15 জানুয়ারী, সাইটটি জানতে পারে যে আগের দিন তথ্য অনলাইনে ফাঁস হয়েছে।
প্রকল্পটি "আমাকে কি বিদ্ধ করা হয়েছে?" ডেটা রেকর্ড করে ডাটাবেসে যোগ করে সমস্ত পাবলিক ডেটা ফাঁসের জন্য অনুসন্ধান করুন. এটি ব্যবহারকারীদের তাদের ইমেল ঠিকানা বা পাসওয়ার্ড আপস করা হয়েছে কিনা তা পরীক্ষা করার অনুমতি দেয়।
OpenSubtitles বলেন যে ক্রেডিট কার্ড তথ্য আপস করা হয়নি.
“হ্যাকার ব্যবহারকারীর অ্যাকাউন্টে অ্যাক্সেস পেতে পারে। তাই আপনি সাবটাইটেল ডাউনলোড করতে পারেন, কিন্তু ক্রেডিট কার্ড বা অন্যান্য ডেটাতে আপনার অ্যাক্সেস নেই; সেগুলি আমাদের প্ল্যাটফর্মের বাইরে সংরক্ষণ করা হয়,” সাইট প্রশাসক, “OSS,” লিখেছেন।
OpenSubtitles হ্যাকটিকে একটি "কঠিন পাঠ" হিসাবে বর্ণনা করে, এর নিরাপত্তার ত্রুটি স্বীকার করে। তাই ওপেনসাবটাইটেলস এর পর থেকে হুডের নিচে কিছু পরিবর্তন করে এর নিরাপত্তা উন্নত করেছে।
"সাইটটি আনসল্টেড md5() হ্যাশে পাসওয়ার্ড সংরক্ষণ করেছে, যেগুলি হ্যাশ_এইচম্যাক এবং সল্টেড SHA-256 দ্বারা প্রতিস্থাপিত হয়েছে," OSS বলেছে৷ এছাড়াও, OpenSubtitles একটি নতুন পাসওয়ার্ড নীতি, ব্যর্থ লগইন প্রচেষ্টার পরে অ্যাকাউন্ট লকআউট, পাসওয়ার্ড রিসেট, লগইন পৃষ্ঠা এবং অন্যান্য স্থানে ক্যাপচা প্রবর্তন করেছে।
সবচেয়ে তাৎক্ষণিক হুমকি হল সেই ব্যবহারকারীদের জন্য যারা একই ইমেল ঠিকানা এবং পাসওয়ার্ডের সংমিশ্রণ অন্যান্য সাইটে ব্যবহার করেছেন। একজন আক্রমণকারী এইভাবে তৃতীয় পক্ষের অ্যাকাউন্ট অ্যাক্সেস করতে পারে। এছাড়াও, এটি OpenSubtitles ব্যবহারকারীদের জন্য একটি সমস্যা হতে পারে যারা একই শংসাপত্রের সাথে ঘন ঘন পোর্টালে যান।
এই কারণেই যদি আমাদের পাঠকদের মধ্যে কেউ ঘন ঘন ভিজিটর হন, তাহলে তাদের openSubtitles.org এবং openSubtitles.com ডোমেনে তাদের পাসওয়ার্ড পরিবর্তন করার পরামর্শ দেওয়া হয়।
উৎস: https://forum.opensubtitles.org/