Opensubtitles.org бұзылып, миллиондаған деректер ағып кетті

Танымал фильмдер мен сериалдар субтитр сайты, OpenSubtitles осы аптада пайдаланушыларына хакер шабуыл жасағанын жариялады, сейсенбіде, қаңтардың 18-інде хакер желідегі дерекқорды сыртқа шығарғаннан кейін пайдаланушыларды ескертті.

Олардың форумындағы блог жазбасында, Сайт тобы олармен өткен тамызда Telegram арқылы хакер байланысқанын анықтады электрондық пошта мен IP мекенжайларын, пайдаланушы аттары мен құпия сөздерді қоса алғанда, шамамен 7 миллион пайдаланушының деректеріне қол жеткізгенін хабарлау.

OpenSubtitles-ді жаңадан бастағандар үшін сіз мұны білуіңіз керек фильмдер мен сериалдар үшін субтитр файлдарын ұсынатын өте танымал қызмет. Қызметке "opensubtitles.org" және "opensubtitles.com" домендері арқылы қол жеткізуге болады, онда ол талқылау форумын жүргізеді.

Әкімшілердің хабарламасына сәйкессайттың s хакерлер 2021 жылдың тамызында пайдаланушы деректер базасына қол жеткізе алды. операторлары болғандықтан OpenSubtitles төлем талаптарына жауап бермеді, енді кіру деректері Интернетте пайда болады. Команданың мәліметі бойынша, пайдаланушы деректер базасы 6,7 миллионнан астам жазбаны қамтиды.

Сүзілген пакетте электрондық пошта мекенжайлары, IP мекенжайлары, пайдаланушы аттары, пайдаланушылардың шыққан елдері және MD5 хэші түріндегі құпия сөздер бар. Команда соңғы жылдары қауіпсіздікті күшейту үшін аз жұмыс жасалғанын мойындайды, бұл шабуылдаушыға супер әкімшінің қауіпті құпия сөзін бұзғаннан кейін SQL инъекциясын орындауға мүмкіндік берді.

«2021 жылдың тамызында біз Telegram-да хакерден хабарлама алдық, ол бізге opensubtitles.org пайдаланушы кестесіне қол жеткізіп, SQL демпін (шикі деректердің көшірмесі) жүктеп алғанын көрсетті. Мұны жұртшылыққа жария етпегені үшін ол биткоиндер бойынша төлем талап етіп, деректерді жоюға уәде берді. Бұл аз ақша болмағандықтан әрең қабылдадық. Ол бізге қалай кіруге болатынын айтты және қатені түзетуге көмектесті. Техникалық тұрғыдан ол SuperAdmin-тің қауіпті құпия сөзін бұзып үлгерді», - делінген команданың жазбасында.

«Мен тек SuperAdmins үшін қол жетімді болатын қауіпті сценарийге қол жеткіздім. Бұл сценарий оған SQL инъекцияларын орындауға және деректерді шығаруға мүмкіндік берді», - делінген хабарламада. Бұзылған деректердің ешқайсысы өткен тамызда ағып кетпесе де, 11 жылдың 2022 қаңтарында OpenSubtitles ұқсас сұраулар жасаған «түпнұсқа хакерге үлес қосушыдан» қосымша хат-хабарларды алды. Бастапқы хакерге көмек сұрап хабарласу мүмкін болмады, ал 15 қаңтарда сайт деректердің бір күн бұрын желіде тарағанын білді.

Жоба «Мен-пвин болдым ба?» деректерді жазып алып, мәліметтер қорына қосты Барлық жалпыға ортақ деректердің ағып кетуін іздеңіз. Бұл пайдаланушыларға электрондық пошта мекенжайы немесе құпия сөзінің бұзылғанын тексеруге мүмкіндік береді.

OpenSubtitles деді несие картасының ақпараты бұзылған жоқ.

«Хакер пайдаланушы тіркелгілеріне қол жеткізе алады. Сондықтан субтитрлерді және т.б. жүктеп алуға болады, бірақ сізде несие картасына немесе басқа деректерге қол жеткізген жоқсыз; олар біздің платформадан тыс сақталады», - деп жазды сайт әкімшісі, «OSS».

OpenSubtitles бұзуды «ауыр сабақ» ретінде сипаттайды., оның қауіпсіздігіндегі кемшіліктерді мойындай отырып. Осылайша, OpenSubtitles содан бері қақпақ астында кейбір өзгерістер енгізу арқылы қауіпсіздігін жақсартты.

«Сайт құпия сөздерді тұздалмаған md5() хэштерінде сақтады, олар hash_hmac және тұздалған SHA-256 ауыстырылды», - деді OSS. Сонымен қатар, OpenSubtitles жаңа құпия сөз саясатын, сәтсіз кіру әрекеттерінен кейін тіркелгіні құлыптауды, құпия сөзді қалпына келтірудегі captcha, кіру бетін және басқа жерлерді ұсынды.

Басқа сайттарда бірдей электрондық пошта мекенжайы мен құпия сөз тіркесімін пайдаланған пайдаланушылар үшін ең шұғыл қауіп. Осылайша, шабуылдаушы үшінші тарап тіркелгілеріне қол жеткізе алады. Сондай-ақ, бұл бірдей тіркелгі деректері бар порталдарды жиі қолданатын OpenSubtitles пайдаланушылары үшін мәселе болуы мүмкін.

Сондықтан оқырмандарымыздың кез келгені жиі келушілер болса, оларға openSubtitles.org және openSubtitles.com домендеріндегі құпия сөзін өзгерту ұсынылады.

Дерек көзі: https://forum.opensubtitles.org/


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

Бірінші болып пікір айтыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады.

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.