Opensubtitles.org buvo įsilaužta ir nutekėjo milijonai duomenų

Populiari filmų ir serialų subtitrų svetainė, „OpenSubtitles“ šią savaitę paskelbė savo vartotojams, kad ją užpuolė įsilaužėlis, antradienį, sausio 18 d., įspėjo vartotojus, kai įsilaužėlis nutekino internetinę duomenų bazę.

Tinklaraščio įraše jų forume svetainės komanda atskleidė, kad įsilaužėlis susisiekė su jais praėjusį rugpjūtį per „Telegram“. informuoti, kad turi prieigą prie visų vartotojų, maždaug 7 mln., duomenų, įskaitant el. pašto ir IP adresus, naudotojų vardus ir slaptažodžius.

Tiems, kurie pradeda naudoti „OpenSubtitles“, turėtumėte tai žinoti yra labai populiari paslauga, siūlanti filmų ir serialų subtitrų failus. Paslauga pasiekiama per domenus „opensubtitles.org“ ir „opensubtitles.com“, kur ji palaiko diskusijų forumą.

Pagal administratoriaus pranešimąs svetainės įsilaužėliai galėjo pasiekti vartotojų duomenų bazę 2021 m. rugpjūčio mėn. Kadangi operatoriai „OpenSubtitles“ neatsakė į išpirkos reikalavimus, prieigos duomenys dabar rodomi internete. Pasak komandos, vartotojų duomenų bazėje yra šiek tiek daugiau nei 6,7 mln.

Filtruotame pakete yra el. pašto adresai, IP, naudotojų vardai, naudotojų kilmės šalys ir slaptažodžiai MD5 maišos pavidalu. Komanda pripažįsta, kad pastaraisiais metais buvo mažai nuveikta siekiant sugriežtinti saugą, o tai leido užpuolikui atlikti SQL injekciją po to, kai sukompromitavo super administratoriaus nesaugų slaptažodį.

„2021 m. rugpjūčio mėn. gavome pranešimą per Telegramą iš įsilaužėlio, kuris mums parodė, kad jam pavyko pasiekti opensubtitles.org naudotojų lentelę ir atsisiuntė SQL išklotinę (neapdorotų duomenų kopiją). Jis pareikalavo išpirkos bitkoinais už tai, kad to neatskleidė visuomenei, ir pažadėjo ištrinti duomenis. Vargu ar sutikome, nes tai nebuvo maži pinigai. Jis papasakojo, kaip gauti prieigą, ir padėjo ištaisyti klaidą. Techniškai jam pavyko nulaužti nesaugų SuperAdmin slaptažodį“, – rašoma komandos įraše.

„Turėjau prieigą prie nesaugaus scenarijaus, kuris buvo prieinamas tik SuperAdminams. Šis scenarijus leido jam atlikti SQL injekcijas ir išgauti duomenis“, – rašoma pranešime. Nors pernai rugpjūtį jokie įsilaužti duomenys nebuvo nutekinti, 11 m. sausio 2022 d. „OpenSubtitles“ gavo tolesnę korespondenciją iš „pirminio įsilaužėlio prisidėjusiojo“, pateikusio panašius prašymus. Su pirminiu įsilaužėliu pagalbos susisiekti nepavyko, o sausio 15 d. svetainė sužinojo, kad duomenys buvo nutekinti internete dieną prieš tai.

El proyecto "Ar aš-buvau pagrobtas?" įrašė duomenis ir įtraukė į duomenų bazę Ieškokite visų viešųjų duomenų nutekėjimo. Tai leidžia vartotojams patikrinti, ar jų el. pašto adresas arba slaptažodis nebuvo pažeisti.

„OpenSubtitles“ teigė, kad kredito kortelės informacija nebuvo pažeista.

„Įsilaužėlis gali gauti prieigą prie vartotojų paskyrų. Taigi galite atsisiųsti subtitrus ir pan., bet neturėjote prieigos prie kredito kortelės ar kitų duomenų; jie saugomi už mūsų platformos ribų“, – rašė svetainės administratorius „OSS“.

„OpenSubtitles“ įsilaužimą apibūdina kaip „sunkią pamoką“, pripažįstant jos saugumo trūkumus. Taigi „OpenSubtitles“ pagerino savo saugumą, atlikdama keletą pakeitimų po gaubtu.

„Svetainė saugojo slaptažodžius nesūdytose md5() maišose, kurios buvo pakeistos hash_hmac ir sūdytu SHA-256“, – sakė OSS. Be to, „OpenSubtitles“ taip pat pristatė naują slaptažodžių politiką, paskyros blokavimą po nesėkmingų bandymų prisijungti, „captcha“ slaptažodžio nustatymo iš naujo metu, prisijungimo puslapį ir kitas vietas.

Tiesioginė grėsmė kyla vartotojams, kurie tą patį el. pašto adresą ir slaptažodžio derinį naudojo kitose svetainėse. Taigi užpuolikas gali pasiekti trečiųjų šalių paskyras. Be to, tai gali būti problema „OpenSubtitles“ naudotojams, kurie dažnai lankosi portaluose su tais pačiais kredencialais.

Štai kodėl, jei kuris nors iš mūsų skaitytojų yra dažnas lankytojas, rekomenduojama jiems pakeisti slaptažodį openSubtitles.org ir openSubtitles.com domenuose.

Fuente: https://forum.opensubtitles.org/


Būkite pirmas, kuris pakomentuos

Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Atsakingas už duomenis: Miguel Ángel Gatón
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.