Popularna strona z napisami do filmów i seriali, OpenSubtitles ogłosiło w tym tygodniu swoim użytkownikom, że zostało zaatakowane przez hakera, ostrzegł użytkowników we wtorek, 18 stycznia, po tym, jak haker wyciekł z internetowej bazy danych.
W poście na blogu na swoim forum, zespół serwisu ujawnił, że haker skontaktował się z nimi w sierpniu zeszłego roku za pośrednictwem Telegrama aby poinformować ich, że ma dostęp do danych wszystkich użytkowników, około 7 milionów, w tym adresów e-mail i IP, nazw użytkowników i haseł.
Dla tych, którzy są nowicjuszami w OpenSubtitles, powinniście to wiedzieć to bardzo popularna usługa oferująca pliki z napisami do filmów i seriali. Serwis jest dostępny za pośrednictwem domen „opensubtitles.org” i „opensubtitles.com”, gdzie prowadzi forum dyskusyjne.
Zgodnie z komunikatem administratoróws strony hakerzy mogli uzyskać dostęp do bazy danych użytkowników w sierpniu 2021 r. Ponieważ operatorzy OpenSubtitles nie odpowiedział na żądanie okupu, dane dostępowe pojawiają się teraz w Internecie. Według zespołu baza użytkowników zawiera nieco ponad 6,7 mln wpisów.
Przefiltrowany pakiet zawiera adresy e-mail, adresy IP, nazwy użytkowników, kraje pochodzenia użytkowników oraz hasła w postaci skrótu MD5. Zespół przyznaje, że w ostatnich latach niewiele zrobiono w celu zaostrzenia zabezpieczeń, co pozwoliło atakującemu na wykonanie wstrzyknięcia SQL po złamaniu niezabezpieczonego hasła superadministratora.
„W sierpniu 2021 r. otrzymaliśmy wiadomość na Telegramie od hakera, który pokazał nam, że był w stanie uzyskać dostęp do tabeli użytkowników opensubtitles.org i pobrał zrzut SQL (kopię nieprzetworzonych danych). Zażądał okupu w bitcoinach za nieujawnienie tego opinii publicznej i obiecał usunąć dane. Prawie się nie przyjęliśmy, bo to nie była mała kwota. Powiedział nam, jak może uzyskać dostęp i pomógł nam naprawić błąd. Technicznie rzecz biorąc, udało mu się zhakować niezabezpieczone hasło SuperAdmina” – czytamy w poście zespołu.
„Miałem dostęp do niezabezpieczonego skryptu, który był dostępny tylko dla superadministratorów. Ten skrypt pozwolił mu na wykonanie iniekcji SQL i wyodrębnienie danych” – napisano w poście. Chociaż żadne ze zhakowanych danych nie wyciekły w sierpniu zeszłego roku, 11 stycznia 2022 r. OpenSubtitles otrzymało dalszą korespondencję od „współtwórcy oryginalnego hakera”, który złożył podobne prośby. Nie można było skontaktować się z pierwszym hakerem w celu uzyskania pomocy, a 15 stycznia strona dowiedziała się, że dane wyciekły online dzień wcześniej.
Projekt – Czy-zostałem-z-pobity? zarejestrował dane i dodał je do bazy danych Wyszukaj wszystkie wycieki danych publicznych. Dzięki temu użytkownicy mogą sprawdzić, czy ich adres e-mail lub hasło nie zostały naruszone.
OpenSubtitles powiedział, że informacje o karcie kredytowej nie zostały naruszone.
„Haker może uzyskać dostęp do kont użytkowników. Możesz więc pobierać napisy i tak dalej, ale nie miałeś dostępu do karty kredytowej ani innych danych; są one przechowywane poza naszą platformą”, napisał administrator witryny „OSS”.
OpenSubtitles opisuje włamanie jako „trudną lekcję”, przyznając się do wad w jego bezpieczeństwie. Od tego czasu OpenSubtitles poprawiło swoje bezpieczeństwo, wprowadzając pewne zmiany pod maską.
„Witryna przechowywała hasła w niesolonych skrótach md5(), które zostały zastąpione hash_hmac i solonym SHA-256” — powiedział OSS. Ponadto OpenSubtitles wprowadziło również nową politykę haseł, blokadę konta po nieudanych próbach logowania, captcha przy resetowaniu hasła, stronę logowania i inne miejsca.
Najbardziej bezpośrednim zagrożeniem są użytkownicy, którzy używali tej samej kombinacji adresu e-mail i hasła w innych witrynach. Atakujący może w ten sposób uzyskać dostęp do kont osób trzecich. Może to również stanowić problem dla użytkowników OpenSubtitles, którzy często odwiedzają portale z tymi samymi danymi uwierzytelniającymi.
Dlatego jeśli któryś z naszych czytelników jest częstymi gośćmi, zaleca się zmianę hasła w domenach openSubtitles.org i openSubtitles.com.
źródło: https://forum.opensubtitles.org/