लोकप्रिय चित्रपट आणि मालिका उपशीर्षक साइट, OpenSubtitles ने या आठवड्यात त्याच्या वापरकर्त्यांना जाहीर केले की त्यावर हॅकरने हल्ला केला आहे, हॅकरने ऑनलाइन डेटाबेस लीक केल्यानंतर मंगळवारी, 18 जानेवारी रोजी वापरकर्त्यांना सतर्क केले.
त्यांच्या फोरमवरील ब्लॉग पोस्टमध्ये, साइट टीमने उघड केले की एका हॅकरने त्यांच्याशी टेलीग्रामद्वारे गेल्या ऑगस्टमध्ये संपर्क साधला ईमेल आणि IP पत्ते, वापरकर्तानावे आणि संकेतशब्दांसह, अंदाजे 7 दशलक्ष वापरकर्त्यांच्या डेटामध्ये प्रवेश होता हे त्यांना सूचित करण्यासाठी.
जे OpenSubtitles साठी नवीन आहेत त्यांच्यासाठी, तुम्हाला ते माहित असले पाहिजे चित्रपट आणि मालिकांसाठी सबटायटल फाइल्स ऑफर करणारी एक अतिशय लोकप्रिय सेवा आहे. ही सेवा "opensubtitles.org" आणि "opensubtitles.com" या डोमेनद्वारे उपलब्ध आहे, जिथे ती चर्चा मंच ठेवते.
प्रशासकांच्या संदेशानुसारसाइटचे एस हॅकर्स ऑगस्ट 2021 मध्ये वापरकर्त्याच्या डेटाबेसमध्ये प्रवेश करण्यास सक्षम होते. च्या ऑपरेटर्स पासून OpenSubtitles ने खंडणीच्या मागणीला प्रतिसाद दिला नाही, प्रवेश डेटा आता इंटरनेटवर दिसतो. टीमच्या मते, वापरकर्ता डेटाबेसमध्ये फक्त 6,7 दशलक्ष नोंदी आहेत.
फिल्टर केलेल्या पॅकेटमध्ये MD5 हॅशच्या स्वरूपात ईमेल पत्ते, IP, वापरकर्तानावे, वापरकर्त्यांचे मूळ देश आणि पासवर्ड असतात. टीम कबूल करते की अलिकडच्या वर्षांत सुरक्षा कडक करण्यासाठी थोडेसे केले गेले आहे, ज्यामुळे आक्रमणकर्त्याला सुपर प्रशासकाच्या असुरक्षित पासवर्डशी तडजोड केल्यानंतर SQL इंजेक्शन करण्याची परवानगी मिळाली.
“ऑगस्ट 2021 मध्ये, आम्हाला टेलीग्रामवर एका हॅकरकडून संदेश मिळाला, ज्याने आम्हाला दाखवले की तो opensubtitles.org वापरकर्ता टेबलमध्ये प्रवेश करू शकला आहे आणि SQL डंप डाउनलोड केला आहे (कच्च्या डेटाची प्रत). हे लोकांसमोर न सांगण्यासाठी त्याने बिटकॉइन्समध्ये खंडणीची मागणी केली आणि डेटा हटविण्याचे आश्वासन दिले. आम्ही महत्प्रयासाने स्वीकारले, कारण ते पैसे कमी नव्हते. त्याने आम्हाला प्रवेश कसा मिळू शकतो हे सांगितले आणि त्रुटी दूर करण्यात आम्हाला मदत केली. तांत्रिकदृष्ट्या, तो सुपरअॅडमिनचा असुरक्षित पासवर्ड हॅक करण्यात यशस्वी झाला," टीमची पोस्ट वाचते.
“माझ्याकडे एका असुरक्षित स्क्रिप्टमध्ये प्रवेश होता, जो फक्त SuperAdmins साठी उपलब्ध होता. या स्क्रिप्टने त्याला एसक्यूएल इंजेक्शन्स करण्यास आणि डेटा काढण्याची परवानगी दिली,” पोस्टमध्ये म्हटले आहे. गेल्या ऑगस्टमध्ये, 11 जानेवारी, 2022 रोजी हॅक केलेला कोणताही डेटा लीक झाला नसताना, OpenSubtitles ला "मूळ हॅकरच्या योगदानकर्त्या" कडून पुढील पत्रव्यवहार प्राप्त झाला ज्याने समान विनंत्या केल्या. सुरुवातीच्या हॅकरशी मदतीसाठी संपर्क होऊ शकला नाही आणि 15 जानेवारी रोजी साइटला कळले की डेटा आदल्या दिवशी ऑनलाइन लीक झाला होता.
प्रकल्प "मी-झाले आहे का?" डेटा रेकॉर्ड केला आणि डेटाबेसमध्ये जोडला सर्व सार्वजनिक डेटा लीकसाठी शोधा. हे वापरकर्त्यांना त्यांच्या ईमेल पत्त्याची किंवा पासवर्डशी तडजोड झाली आहे का ते तपासण्याची परवानगी देते.
OpenSubtitles म्हणाले की क्रेडिट कार्ड माहितीशी तडजोड झाली नाही.
“हॅकर वापरकर्त्याच्या खात्यांमध्ये प्रवेश मिळवू शकतो. त्यामुळे तुम्ही सबटायटल्स वगैरे डाउनलोड करू शकता, पण तुम्हाला क्रेडिट कार्ड किंवा इतर डेटामध्ये प्रवेश नाही; ते आमच्या प्लॅटफॉर्मच्या बाहेर साठवले जातात," साइट प्रशासक, "OSS," लिहिले.
OpenSubtitles एक "कठीण धडा" म्हणून हॅकचे वर्णन करते, त्याच्या सुरक्षेतील त्रुटी मान्य करून. त्यामुळे OpenSubtitles ने हूड अंतर्गत काही बदल करून तिची सुरक्षा सुधारली आहे.
"साइटने पासवर्ड अनसाल्टेड md5() हॅशमध्ये संग्रहित केले, जे हॅश_एचमॅक आणि सॉल्टेड SHA-256 ने बदलले," OSS म्हणाले. याव्यतिरिक्त, OpenSubtitles ने नवीन पासवर्ड पॉलिसी, अयशस्वी लॉगिन प्रयत्नांनंतर खाते लॉकआउट, पासवर्ड रीसेट, लॉगिन पृष्ठ आणि इतर ठिकाणी कॅप्चा देखील सादर केला.
सर्वात तात्काळ धोका अशा वापरकर्त्यांसाठी आहे ज्यांनी इतर साइटवर समान ईमेल पत्ता आणि पासवर्ड संयोजन वापरले आहे. आक्रमणकर्ता अशा प्रकारे तृतीय-पक्षाच्या खात्यांमध्ये प्रवेश करू शकतो. तसेच, OpenSubtitles वापरकर्त्यांसाठी ही समस्या असू शकते जे समान क्रेडेन्शियल्ससह वारंवार पोर्टल करतात.
म्हणूनच आमच्या वाचकांपैकी कोणीही वारंवार भेट देणारे असल्यास, त्यांनी openSubtitles.org आणि openSubtitles.com डोमेनमध्ये त्यांचा पासवर्ड बदलण्याची शिफारस केली जाते.
स्त्रोत: https://forum.opensubtitles.org/