લોકપ્રિય મૂવી અને સિરિઝ સબટાઈટલ સાઇટ, OpenSubtitles એ આ અઠવાડિયે તેના વપરાશકર્તાઓને જાહેરાત કરી કે તેના પર હેકર દ્વારા હુમલો કરવામાં આવ્યો છે, હેકરે ઓનલાઈન ડેટાબેઝ લીક કર્યા બાદ મંગળવારે 18 જાન્યુઆરીએ યુઝર્સને એલર્ટ કર્યા હતા.
તેમના ફોરમ પર એક બ્લોગ પોસ્ટમાં, સાઇટ ટીમે જાહેર કર્યું કે હેકરે ગયા ઓગસ્ટમાં ટેલિગ્રામ દ્વારા તેમનો સંપર્ક કર્યો હતો તેમને જાણ કરવા માટે કે તે તમામ વપરાશકર્તાઓના ડેટાની ઍક્સેસ ધરાવે છે, લગભગ 7 મિલિયન, જેમાં ઇમેઇલ અને IP સરનામાં, વપરાશકર્તાનામ અને પાસવર્ડનો સમાવેશ થાય છે.
જેઓ OpenSubtitles માટે નવા છે, તમારે તે જાણવું જોઈએ એક ખૂબ જ લોકપ્રિય સેવા છે જે મૂવીઝ અને સિરીઝ માટે સબટાઈટલ ફાઈલો ઓફર કરે છે. સેવા "opensubtitles.org" અને "opensubtitles.com" ડોમેન્સ દ્વારા સુલભ છે, જ્યાં તે ચર્ચા મંચનું સંચાલન કરે છે.
સંચાલકોના સંદેશા મુજબસાઇટના s હેકર્સ ઓગસ્ટ 2021માં યુઝર ડેટાબેઝને એક્સેસ કરવામાં સક્ષમ હતા. ના ઓપરેટરો થી OpenSubtitles એ ખંડણી માંગણીઓનો જવાબ આપ્યો નથી, ઍક્સેસ ડેટા હવે ઇન્ટરનેટ પર દેખાય છે. ટીમના જણાવ્યા અનુસાર, યુઝર ડેટાબેઝમાં માત્ર 6,7 મિલિયન એન્ટ્રીઓ છે.
ફિલ્ટર કરેલ પેકેટમાં MD5 હેશના રૂપમાં ઈમેલ એડ્રેસ, આઈપી, યુઝરનામ, યુઝર્સના મૂળ દેશો અને પાસવર્ડનો સમાવેશ થાય છે. ટીમ સ્વીકારે છે કે તાજેતરના વર્ષોમાં સુરક્ષાને વધુ કડક બનાવવા માટે બહુ ઓછું કરવામાં આવ્યું છે, જેણે સુપર એડમિનિસ્ટ્રેટરના અસુરક્ષિત પાસવર્ડ સાથે ચેડા કર્યા પછી હુમલાખોરને SQL ઇન્જેક્શન કરવાની મંજૂરી આપી હતી.
“ઓગસ્ટ 2021માં, અમને હેકર તરફથી ટેલિગ્રામ પર એક સંદેશ મળ્યો, જેણે અમને બતાવ્યું કે તે opensubtitles.org વપરાશકર્તા ટેબલને ઍક્સેસ કરવામાં સક્ષમ છે અને SQL ડમ્પ (કાચા ડેટાની નકલ) ડાઉનલોડ કરી શક્યો છે. તેણે આ વાત લોકોને જાહેર ન કરવા બદલ બિટકોઈન્સમાં ખંડણીની માંગણી કરી અને ડેટા ડિલીટ કરવાનું વચન આપ્યું. અમે ભાગ્યે જ સ્વીકાર્યું, કારણ કે તે નાની રકમ ન હતી. તેણે અમને જણાવ્યું કે તે કેવી રીતે ઍક્સેસ મેળવી શકે છે અને ભૂલ સુધારવામાં અમારી મદદ કરી છે. તકનીકી રીતે, તે સુપરએડમિનનો અસુરક્ષિત પાસવર્ડ હેક કરવામાં વ્યવસ્થાપિત થયો," ટીમની પોસ્ટ વાંચે છે.
“મારી પાસે એક અસુરક્ષિત સ્ક્રિપ્ટની ઍક્સેસ હતી, જે માત્ર સુપર એડમિન્સ માટે જ ઉપલબ્ધ હતી. આ સ્ક્રિપ્ટે તેને એસક્યુએલ ઇન્જેક્શન્સ કરવા અને ડેટા કાઢવાની મંજૂરી આપી,” પોસ્ટમાં જણાવ્યું હતું. ગયા ઑગસ્ટમાં, 11 જાન્યુઆરી, 2022ના રોજ, જ્યારે હેક કરાયેલો કોઈપણ ડેટા લીક થયો ન હતો, ત્યારે OpenSubtitles ને "મૂળ હેકરને ફાળો આપનાર" તરફથી વધુ પત્રવ્યવહાર મળ્યો જેણે સમાન વિનંતીઓ કરી હતી. મદદ માટે પ્રારંભિક હેકરનો સંપર્ક થઈ શક્યો ન હતો, અને 15 જાન્યુઆરીએ, સાઇટને ખબર પડી કે ડેટા તેના આગલા દિવસે ઓનલાઈન લીક થઈ ગયો હતો.
આ પ્રોજેક્ટ "શું-હું-પડ્યો છું?" ડેટા રેકોર્ડ કર્યો અને તેને ડેટાબેઝમાં ઉમેર્યો તમામ સાર્વજનિક ડેટા લીક માટે શોધો. આ વપરાશકર્તાઓને તેમના ઇમેઇલ સરનામાં અથવા પાસવર્ડ સાથે ચેડા કરવામાં આવ્યો છે કે કેમ તે તપાસવાની મંજૂરી આપે છે.
OpenSubtitles જણાવ્યું હતું કે આ ક્રેડિટ કાર્ડ માહિતી સાથે ચેડા કરવામાં આવ્યો ન હતો.
“હેકર યુઝર એકાઉન્ટ્સની ઍક્સેસ મેળવી શકે છે. તેથી તમે સબટાઈટલ વગેરે ડાઉનલોડ કરી શકો છો, પરંતુ તમારી પાસે ક્રેડિટ કાર્ડ અથવા અન્ય ડેટાની ઍક્સેસ નથી; તે અમારા પ્લેટફોર્મની બહાર સંગ્રહિત છે," સાઇટ એડમિનિસ્ટ્રેટર, "OSS," લખ્યું.
OpenSubtitles હેકને "હાર્ડ લેસન" તરીકે વર્ણવે છે, તેની સુરક્ષામાં રહેલી ખામીઓને સ્વીકારીને. તેથી OpenSubtitles એ ત્યારથી હૂડ હેઠળ કેટલાક ફેરફારો કરીને તેની સુરક્ષામાં સુધારો કર્યો છે.
"સાઇટ અનસોલ્ટેડ md5() હેશમાં પાસવર્ડ્સ સંગ્રહિત કરે છે, જે hash_hmac અને મીઠું ચડાવેલું SHA-256 દ્વારા બદલવામાં આવ્યા હતા," OSSએ જણાવ્યું હતું. વધુમાં, OpenSubtitles એ નવી પાસવર્ડ પોલિસી, નિષ્ફળ લોગિન પ્રયાસો પછી એકાઉન્ટ લોકઆઉટ, પાસવર્ડ રીસેટ પર કેપ્ચા, લોગિન પેજ અને અન્ય સ્થાનો પણ રજૂ કર્યા.
સૌથી તાત્કાલિક ખતરો એવા વપરાશકર્તાઓ માટે છે જેમણે અન્ય સાઇટ્સ પર સમાન ઇમેઇલ સરનામું અને પાસવર્ડ સંયોજનનો ઉપયોગ કર્યો છે. હુમલાખોર આમ થર્ડ પાર્ટી એકાઉન્ટ્સ એક્સેસ કરી શકે છે. ઉપરાંત, તે OpenSubtitles વપરાશકર્તાઓ માટે સમસ્યા હોઈ શકે છે જેઓ સમાન ઓળખપત્રો સાથે વારંવાર પોર્ટલ કરે છે.
તેથી જ જો અમારા કોઈ વાચકો વારંવાર મુલાકાત લેતા હોય, તો તેમને openSubtitles.org અને openSubtitles.com ડોમેન્સમાં તેમનો પાસવર્ડ બદલવાની ભલામણ કરવામાં આવે છે.
સ્રોત: https://forum.opensubtitles.org/