Opensubtitles.orgがハッキングされ、何百万ものデータが漏洩しました

Darkcrizt

4分

人気の映画・シリーズ字幕サイト、 OpenSubtitlesは今週、ハッカーに攻撃されたとユーザーに発表しました。 ハッカーがオンラインデータベースをリークした後、18月XNUMX日火曜日にユーザーに警告しました。

彼らのフォーラムのブログ投稿では、 サイトチームは、ハッカーが昨年XNUMX月にTelegram経由で彼らに連絡したことを明らかにしました 電子メールとIPアドレス、ユーザー名とパスワードを含む、約7万人のすべてのユーザーのデータにアクセスできたことを通知します。

OpenSubtitlesを初めて使用する場合は、次のことを知っておく必要があります。 映画やシリーズの字幕ファイルを提供する非常に人気のあるサービスです。 このサービスには、ドメイン「opensubtitles.org」および「opensubtitles.com」からアクセスでき、ディスカッションフォーラムがあります。

管理者のメッセージによるとサイトのs ハッカーは2021年XNUMX月にユーザーデータベースにアクセスできました。 のオペレーター以来 OpenSubtitlesは身代金要求に応答しませんでした、アクセスデータがインターネットに表示されるようになりました。 チームによると、ユーザーデータベースは6,7万を超えるエントリで構成されています。

フィルタリングされたパケットには、電子メールアドレス、IP、ユーザー名、ユーザーの出身国、およびパスワードがMD5ハッシュの形式で含まれています。 チームは、近年、セキュリティを強化するためにほとんど何も行われていないことを認めています。これにより、攻撃者は、スーパー管理者の安全でないパスワードを侵害した後、SQLインジェクションを実行できます。

「2021年XNUMX月、ハッカーからTelegramに関するメッセージを受け取りました。ハッカーは、opensubtitles.orgユーザーテーブルにアクセスし、SQLダンプ(生データのコピー)をダウンロードできたことを示しました。 彼はこれを一般に公開しないためにビットコインの身代金を要求し、データを削除することを約束しました。 少額ではなかったので、ほとんど受け入れませんでした。 彼は、アクセスを取得する方法を教えてくれ、エラーの修正を手伝ってくれました。 技術的には、彼はなんとかSuperAdminの安全でないパスワードをハッキングすることができた」とチームの投稿は述べている。

「私は、SuperAdminsだけが利用できる安全でないスクリプトにアクセスできました。 このスクリプトにより、彼はSQLインジェクションを実行し、データを抽出することができました」と投稿は述べています。 ハッキングされたデータは昨年11月に漏洩しませんでしたが、2022年15月XNUMX日、OpenSubtitlesは、同様の要求を行った「元のハッカーへの貢献者」からさらに連絡を受けました。 最初のハッカーに助けを求めることはできず、XNUMX月XNUMX日、サイトはデータが前日にオンラインで漏洩したことを知りました。

プロジェクト 「私は窮地に立たされたことがありますか?」 データを記録してデータベースに追加しました すべての公開データ漏洩を検索します。 これにより、ユーザーは自分の電子メールアドレスまたはパスワードが侵害されていないかどうかを確認できます。

OpenSubtitlesは、 クレジットカード情報は危険にさらされていません。

「ハッカーはユーザーアカウントにアクセスできます。 したがって、字幕などをダウンロードすることはできますが、クレジットカードやその他のデータにアクセスすることはできません。 これらはプラットフォームの外部に保存されます」とサイト管理者の「OSS」は書いています。

OpenSubtitlesは、ハッキングを「難しい教訓」と表現しています、そのセキュリティの欠陥を認めます。 そのため、OpenSubtitlesは、内部でいくつかの変更を加えることにより、セキュリティを向上させました。

「サイトはパスワードを無塩のmd5()ハッシュに保存し、hash_hmacと塩味のSHA-256に置き換えました」とOSSは述べています。 さらに、OpenSubtitlesは、新しいパスワードポリシー、ログイン試行の失敗後のアカウントロックアウト、パスワードリセットのキャプチャ、ログインページなども導入しました。

最も差し迫った脅威は、他のサイトで同じ電子メールアドレスとパスワードの組み合わせを使用したユーザーに対するものです。 したがって、攻撃者はサードパーティのアカウントにアクセスする可能性があります。 また、同じ資格情報を持つポータルを頻繁に使用するOpenSubtitlesユーザーにとっては問題になる可能性があります。

そのため、読者のいずれかが頻繁に訪問する場合は、openSubtitles.orgおよびopenSubtitles.comドメインでパスワードを変更することをお勧めします。

出典 https://forum.opensubtitles.org/


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。