Популярний сайт субтитрів фільмів і серіалів, Цього тижня OpenSubtitles оголосив своїм користувачам про те, що на нього атакував хакер, попередив користувачів у вівторок, 18 січня, після того, як хакер вилив онлайн-базу даних.
У дописі в блозі на їхньому форумі Команда сайту повідомила, що в серпні минулого року з ними зв’язався хакер через Telegram щоб повідомити їх, що вона має доступ до даних усіх користувачів, приблизно 7 мільйонів, включаючи електронні та IP-адреси, імена користувачів та паролі.
Для тих, хто новачок у OpenSubtitles, ви повинні це знати це дуже популярний сервіс, який пропонує файли субтитрів для фільмів і серіалів. Сервіс доступний через домени "opensubtitles.org" і "opensubtitles.com", де він підтримує дискусійний форум.
Згідно з повідомленням адміністратораs сайту Хакери отримали доступ до бази даних користувачів у серпні 2021 року. Оскільки оператори с OpenSubtitles не відповів на вимоги викупу, дані доступу тепер з’являються в Інтернеті. За словами команди, база даних користувачів містить трохи більше 6,7 мільйонів записів.
Відфільтрований пакет містить адреси електронної пошти, IP-адреси, імена користувачів, країни походження користувачів і паролі у вигляді хешу MD5. Команда визнає, що за останні роки мало зроблено для посилення безпеки, що дозволило зловмиснику здійснити ін’єкцію SQL після того, як зламав небезпечний пароль суперадміністратора.
«У серпні 2021 року ми отримали повідомлення в Telegram від хакера, який показав нам, що він зміг отримати доступ до таблиці користувачів opensubtitles.org і завантажив дамп SQL (копію необроблених даних). Він вимагав викуп у біткойнах за те, що не розголошував це громадськості, і пообіцяв видалити дані. Ми навряд чи прийняли, бо це були не малі гроші. Він розповів нам, як отримати доступ, і допоміг виправити помилку. Технічно йому вдалося зламати незахищений пароль суперадміністратора», – йдеться у дописі команди.
«У мене був доступ до незахищеного сценарію, який був доступний лише для суперадміністраторів. Цей скрипт дозволив йому виконувати SQL-ін’єкції та витягувати дані», – йдеться у дописі. Хоча жодна зі зламаних даних не витікала минулого серпня, 11 січня 2022 року OpenSubtitles отримав додаткову кореспонденцію від «співробітника оригінального хакера», який зробив подібні запити. Зв’язатися з першим хакером за допомогою не вдалося, і 15 січня сайт дізнався, що дані були злиті в Інтернет напередодні.
Проект «Чи-меня-пав'яли?» записав дані та додав їх до бази даних Пошук усіх публічних витоків даних. Це дозволяє користувачам перевірити, чи не були зламані їхня адреса електронної пошти або пароль.
OpenSubtitles сказав, що дані кредитної картки не були зламані.
«Хакер може отримати доступ до облікових записів користувачів. Тож ви можете завантажувати субтитри тощо, але у вас не було доступу до кредитної картки чи інших даних; вони зберігаються за межами нашої платформи», — написав адміністратор сайту «OSS».
OpenSubtitles описує хак як "важкий урок", визнаючи недоліки його безпеки. Тому OpenSubtitles з тих пір покращив свою безпеку, внісши деякі зміни під капотом.
"Сайт зберігав паролі в несолоних хешах md5(), які були замінені на hash_hmac і підсолений SHA-256", - повідомили в OSS. Крім того, OpenSubtitles також представив нову політику паролів, блокування облікового запису після невдалих спроб входу, капчу під час скидання пароля, сторінку входу та інші місця.
Найбільш безпосередня загроза є для користувачів, які використовували ту саму комбінацію адреси електронної пошти та пароля на інших сайтах. Таким чином, зловмисник може отримати доступ до акаунтів третіх сторін. Крім того, це може бути проблемою для користувачів OpenSubtitles, які відвідують портали з однаковими обліковими даними.
Тому, якщо хтось із наших читачів є частими відвідувачами, ми рекомендуємо їм змінити пароль у доменах openSubtitles.org та openSubtitles.com.
Фуенте: https://forum.opensubtitles.org/