लोकप्रिय फिल्म और श्रृंखला उपशीर्षक साइट, OpenSubtitles ने इस सप्ताह अपने उपयोगकर्ताओं को घोषणा की कि उस पर एक हैकर ने हमला किया है, हैकर द्वारा ऑनलाइन डेटाबेस लीक करने के बाद मंगलवार, 18 जनवरी को यूजर्स को अलर्ट किया गया।
उनके मंच पर एक ब्लॉग पोस्ट में, साइट टीम ने खुलासा किया कि एक हैकर ने पिछले अगस्त में टेलीग्राम के माध्यम से उनसे संपर्क किया था उन्हें सूचित करने के लिए कि ईमेल और आईपी पते, उपयोगकर्ता नाम और पासवर्ड सहित लगभग 7 मिलियन, सभी उपयोगकर्ताओं के डेटा तक इसकी पहुंच थी।
उन लोगों के लिए जो OpenSubtitles में नए हैं, आपको पता होना चाहिए कि एक बहुत लोकप्रिय सेवा है जो फिल्मों और श्रृंखलाओं के लिए उपशीर्षक फ़ाइलें प्रदान करती है. सेवा "opensubtitles.org" और "opensubtitles.com" डोमेन के माध्यम से पहुंच योग्य है, जहां यह एक चर्चा मंच बनाए रखता है।
व्यवस्थापक संदेश के अनुसारसाइट के एस हैकर्स अगस्त 2021 में यूजर डेटाबेस को एक्सेस करने में सक्षम थे। के ऑपरेटरों के बाद से OpenSubtitles ने फिरौती की मांग का जवाब नहीं दिया, एक्सेस डेटा अब इंटरनेट पर दिखाई देता है। टीम के अनुसार, उपयोगकर्ता डेटाबेस में केवल 6,7 मिलियन से अधिक प्रविष्टियाँ हैं।
फ़िल्टर किए गए पैकेट में MD5 हैश के रूप में ईमेल पते, IP, उपयोगकर्ता नाम, उपयोगकर्ता के मूल देश और पासवर्ड होते हैं। टीम स्वीकार करती है कि हाल के वर्षों में सुरक्षा कड़ी करने के लिए बहुत कम किया गया है, जिसने सुपर एडमिनिस्ट्रेटर के असुरक्षित पासवर्ड से समझौता करने के बाद हमलावर को SQL इंजेक्शन करने की अनुमति दी।
“अगस्त 2021 में, हमें एक हैकर से टेलीग्राम पर एक संदेश प्राप्त हुआ, जिसने हमें दिखाया कि वह opensubtitles.org उपयोगकर्ता तालिका तक पहुँचने में सक्षम था और एक SQL डंप (कच्चे डेटा की एक प्रति) डाउनलोड किया। उन्होंने इसे जनता के सामने प्रकट नहीं करने के लिए बिटकॉइन में फिरौती की मांग की और डेटा को हटाने का वादा किया। हमने शायद ही स्वीकार किया, क्योंकि यह कोई छोटी रकम नहीं थी। उसने हमें बताया कि वह कैसे पहुँच प्राप्त कर सकता है और त्रुटि को ठीक करने में हमारी मदद करता है। तकनीकी रूप से, वह सुपरएडमिन के असुरक्षित पासवर्ड को हैक करने में कामयाब रहा," टीम की पोस्ट में लिखा है।
"मेरे पास एक असुरक्षित स्क्रिप्ट तक पहुंच थी, जो केवल सुपरएडमिन के लिए उपलब्ध थी। इस स्क्रिप्ट ने उन्हें SQL इंजेक्शन करने और डेटा निकालने की अनुमति दी, ”पोस्ट ने कहा। जबकि पिछले अगस्त में हैक किए गए डेटा में से कोई भी लीक नहीं हुआ था, 11 जनवरी, 2022 को, ओपनसबटाइटल्स को "मूल हैकर में योगदानकर्ता" से इसी तरह के अनुरोध करने वाले एक और पत्राचार प्राप्त हुआ। मदद के लिए शुरुआती हैकर से संपर्क नहीं किया जा सका और 15 जनवरी को साइट को पता चला कि डेटा एक दिन पहले ऑनलाइन लीक हो गया था।
अल proyecto "क्या-मैं-पंजा हो गया?" डेटा रिकॉर्ड किया और इसे डेटाबेस में जोड़ा सभी सार्वजनिक डेटा लीक की खोज करें। यह उपयोगकर्ताओं को यह जांचने की अनुमति देता है कि उनके ईमेल पते या पासवर्ड से छेड़छाड़ की गई है या नहीं।
ओपनसबटाइटल्स ने कहा कि क्रेडिट कार्ड की जानकारी से समझौता नहीं किया गया था।
"हैकर उपयोगकर्ता खातों तक पहुंच प्राप्त कर सकता है। तो आप उपशीर्षक आदि डाउनलोड कर सकते हैं, लेकिन आपके पास क्रेडिट कार्ड या अन्य डेटा तक पहुंच नहीं है; वे हमारे मंच के बाहर संग्रहीत हैं," साइट व्यवस्थापक, "ओएसएस," ने लिखा।
ओपनसबटाइटल्स हैक को "कठिन सबक" के रूप में वर्णित करता है, इसकी सुरक्षा में खामियों को स्वीकार करते हुए। इसलिए ओपनसबटाइटल्स ने हुड के तहत कुछ बदलाव करके अपनी सुरक्षा में सुधार किया है।
"साइट ने पासवर्ड को अनसाल्टेड md5 () हैश में संग्रहीत किया, जिसे हैश_एचमैक और नमकीन SHA-256 द्वारा बदल दिया गया था," ओएसएस ने कहा। इसके अलावा, ओपनसबटाइटल्स ने एक नई पासवर्ड नीति, असफल लॉगिन प्रयासों के बाद खाता लॉकआउट, पासवर्ड रीसेट पर कैप्चा, लॉगिन पृष्ठ और अन्य स्थानों को भी पेश किया।
सबसे तात्कालिक खतरा उन उपयोगकर्ताओं के लिए है जिन्होंने अन्य साइटों पर समान ईमेल पते और पासवर्ड संयोजन का उपयोग किया है। इस प्रकार एक हमलावर तीसरे पक्ष के खातों तक पहुंच सकता है। साथ ही, यह उन OpenSubtitles उपयोगकर्ताओं के लिए एक समस्या हो सकती है, जो समान क्रेडेंशियल्स के साथ बार-बार पोर्टल बनाते हैं।
इसलिए यदि हमारा कोई पाठक बार-बार विज़िटर होता है, तो यह अनुशंसा की जाती है कि वे openSubtitles.org और openSubtitles.com डोमेन में अपना पासवर्ड बदल लें।
Fuente: https://forum.opensubtitles.org/