Populární stránka s titulky k filmům a seriálům, OpenSubtitles tento týden oznámila svým uživatelům, že byla napadena hackerem, upozornil uživatele v úterý 18. ledna poté, co hacker unikl online databázi.
V příspěvku na blogu na jejich fóru tým webu odhalil, že je hacker kontaktoval loni v srpnu prostřednictvím telegramu informovat je, že má přístup k údajům všech uživatelů, přibližně 7 milionů, včetně e-mailových a IP adres, uživatelských jmen a hesel.
Pro ty, kteří s OpenSubtitles začínají, byste to měli vědět je velmi oblíbená služba, která nabízí soubory titulků k filmům a seriálům. Služba je přístupná prostřednictvím domén „opensubtitles.org“ a „opensubtitles.com“, kde spravuje diskusní fórum.
Podle zprávy administrátorůs webu hackeři měli přístup k databázi uživatelů v srpnu 2021. Vzhledem k tomu, že provozovatelé OpenSubtitles nereagovaly na požadavky na výkupné, přístupové údaje se nyní objeví na internetu. Podle týmu obsahuje uživatelská databáze něco přes 6,7 milionu záznamů.
Filtrovaný paket obsahuje e-mailové adresy, IP adresy, uživatelská jména, země původu uživatelů a hesla ve formě MD5 hash. Tým připouští, že pro zpřísnění zabezpečení se v posledních letech udělalo jen málo, což útočníkovi umožnilo provést injekci SQL poté, co kompromitoval nezabezpečené heslo superadministrátora.
„V srpnu 2021 jsme na telegramu obdrželi zprávu od hackera, který nám ukázal, že měl přístup k uživatelské tabulce opensubtitles.org a stáhl si výpis SQL (kopii nezpracovaných dat). Za to, že to nezveřejní, požadoval výkupné v bitcoinech a slíbil, že data smaže. Sotva jsme přijali, protože to nebyly malé peníze. Řekl nám, jak může získat přístup, a pomohl nám chybu opravit. Technicky se mu podařilo hacknout nezabezpečené heslo SuperAdmina,“ píše se v příspěvku týmu.
„Měl jsem přístup k nezabezpečenému skriptu, který byl dostupný pouze pro superadministrátory. Tento skript mu umožnil provádět injekce SQL a extrahovat data,“ uvedl příspěvek. Zatímco žádné z hacknutých dat neuniklo loni v srpnu, 11. ledna 2022 obdržely OpenSubtitles další korespondenci od „přispěvatele původního hackera“, který podal podobné požadavky. Počátečního hackera se nepodařilo kontaktovat s žádostí o pomoc a 15. ledna se web dozvěděl, že data unikla online den předtím.
El Proyecto "Byl jsem-byl-pwned?" zaznamenal data a přidal je do databáze Hledejte všechny úniky veřejných dat. To umožňuje uživatelům zkontrolovat, zda jejich e-mailová adresa nebo heslo nebyly prozrazeny.
OpenSubtitles řekl, že informace o kreditní kartě nebyly ohroženy.
„Hacker může získat přístup k uživatelským účtům. Můžete si tedy stáhnout titulky a tak dále, ale neměli jste přístup k údajům o kreditní kartě nebo jiným údajům; ty jsou uloženy mimo naši platformu,“ napsal správce webu „OSS“.
OpenSubtitles popisují hack jako „tvrdou lekci“, uznávajíc nedostatky v jeho zabezpečení. OpenSubtitles tedy od té doby zlepšilo své zabezpečení provedením některých změn pod kapotou.
„Stránky ukládaly hesla v neslaných hash md5(), které byly nahrazeny hash_hmac a osoleným SHA-256,“ řekl OSS. Kromě toho OpenSubtitles také představily novou politiku hesel, uzamčení účtu po neúspěšných pokusech o přihlášení, captcha při resetování hesla, přihlašovací stránku a další místa.
Nejbezprostřednější hrozbou jsou uživatelé, kteří použili stejnou kombinaci e-mailové adresy a hesla na jiných stránkách. Útočník by se tak mohl dostat k účtům třetích stran. Také by to mohl být problém pro uživatele OpenSubtitles, kteří navštěvují portály se stejnými přihlašovacími údaji.
Proto pokud je některý z našich čtenářů častými návštěvníky, doporučujeme mu změnit si heslo v doménách openSubtitles.org a openSubtitles.com.
zdroj: https://forum.opensubtitles.org/