Популярный сайт с субтитрами к фильмам и сериалам, На этой неделе OpenSubtitles объявила своим пользователям, что на нее напал хакер. предупредил пользователей во вторник, 18 января, после того, как хакер слил онлайн-базу данных.
В сообщении в блоге на их форуме, Команда сайта сообщила, что хакер связался с ними в августе прошлого года через Telegram. сообщить им, что у него есть доступ к данным всех пользователей, примерно 7 миллионов, включая адреса электронной почты и IP, имена пользователей и пароли.
Для тех, кто плохо знаком с OpenSubtitles, вы должны знать, что очень популярный сервис, предлагающий файлы субтитров для фильмов и сериалов. Сервис доступен через домены «opensubtitles.org» и «opensubtitles.com», где он поддерживает дискуссионный форум.
По сообщению администраторас сайта Хакеры смогли получить доступ к базе данных пользователей в августе 2021 года. Поскольку операторы OpenSubtitles не ответили на требования выкупа, данные доступа теперь появляются в Интернете. По словам команды, база данных пользователей содержит чуть более 6,7 миллиона записей.
Отфильтрованный пакет содержит адреса электронной почты, IP-адреса, имена пользователей, страны происхождения пользователей и пароли в виде хэша MD5. Команда признает, что в последние годы мало что было сделано для усиления безопасности, что позволило злоумышленнику выполнить SQL-инъекцию после компрометации небезопасного пароля суперадминистратора.
«В августе 2021 года мы получили сообщение в Telegram от хакера, который показал нам, что ему удалось получить доступ к пользовательской таблице opensubtitles.org и загрузить дамп SQL (копию необработанных данных). Он потребовал выкуп в биткойнах за то, что не сообщил об этом общественности, и пообещал удалить данные. Мы с трудом согласились, потому что это была не маленькая сумма денег. Он рассказал нам, как он может получить доступ и помог нам исправить ошибку. Технически ему удалось взломать ненадежный пароль суперадминистратора», — говорится в сообщении команды.
«У меня был доступ к небезопасному скрипту, доступному только суперадминам. Этот скрипт позволял ему выполнять SQL-инъекции и извлекать данные», — говорится в сообщении. Хотя ни одна из взломанных данных не просочилась в августе прошлого года, 11 января 2022 года OpenSubtitles получила дополнительную переписку от «соавтора исходного хакера», который сделал аналогичные запросы. Связаться с первоначальным хакером за помощью не удалось, и 15 января сайт узнал, что накануне данные просочились в сеть.
В рамках проекта "Меня-побили?" записали данные и добавили в базу Поиск всех утечек общедоступных данных. Это позволяет пользователям проверить, не был ли скомпрометирован их адрес электронной почты или пароль.
OpenSubtitles заявили, что данные кредитной карты не были скомпрометированы.
«Хакер может получить доступ к учетным записям пользователей. Таким образом, вы можете загружать субтитры и так далее, но у вас нет доступа к кредитной карте или другим данным; они хранятся за пределами нашей платформы», — написал администратор сайта «OSS».
OpenSubtitles описывает взлом как «тяжелый урок»., признавая недостатки в его безопасности. Так что с тех пор OpenSubtitles улучшила свою безопасность, внеся некоторые внутренние изменения.
«Сайт хранил пароли в несоленых хэшах md5(), которые были заменены hash_hmac и солеными SHA-256», — сказали в OSS. Кроме того, OpenSubtitles также представила новую политику паролей, блокировку учетной записи после неудачных попыток входа в систему, капчу при сбросе пароля, страницу входа и другие места.
Наиболее непосредственную угрозу представляют пользователи, которые использовали ту же комбинацию адреса электронной почты и пароля на других сайтах. Таким образом, злоумышленник может получить доступ к сторонним учетным записям. Кроме того, это может быть проблемой для пользователей OpenSubtitles, которые часто посещают порталы с одинаковыми учетными данными.
Вот почему, если кто-то из наших читателей является частым посетителем, рекомендуется сменить пароль в доменах openSubtitles.org и openSubtitles.com.
источник: https://forum.opensubtitles.org/