流行的電影和連續劇字幕網站, OpenSubtitles 本周向其用戶宣布,它受到了黑客的攻擊, 在黑客洩露在線數據庫後,於 18 月 XNUMX 日星期二提醒用戶。
在他們論壇上的一篇博文中, 網站團隊透露,去年 XNUMX 月,一名黑客通過 Telegram 聯繫了他們 通知他們它可以訪問所有用戶的數據,大約 7 萬,包括電子郵件和 IP 地址、用戶名和密碼。
對於那些不熟悉 OpenSubtitles 的人,您應該知道 是一項非常受歡迎的服務,可為電影和連續劇提供字幕文件. 該服務可通過域“opensubtitles.org”和“opensubtitles.com”訪問,並在其中維護一個討論論壇。
根據管理員消息網站的 黑客能夠在 2021 年 XNUMX 月訪問用戶數據庫。 由於運營商 OpenSubtitles 沒有回應贖金要求,訪問數據現在出現在互聯網上。 據該團隊稱,用戶數據庫包含超過 6,7 萬個條目。
過濾後的數據包包含電子郵件地址、IP、用戶名、用戶的原籍國和 MD5 哈希形式的密碼。 該團隊承認,近年來在加強安全性方面幾乎沒有採取任何措施,這使得攻擊者可以在洩露超級管理員的不安全密碼後執行 SQL 注入。
“2021 年 XNUMX 月,我們在 Telegram 上收到了一名黑客的消息,他向我們展示了他已經能夠訪問 opensubtitles.org 用戶表並下載了 SQL 轉儲(原始數據的副本)。 他要求以比特幣作為贖金,因為他沒有向公眾披露這一點,並承諾刪除這些數據。 我們幾乎沒有接受,因為這不是一筆小數目。 他告訴我們他如何獲得訪問權限並幫助我們修復錯誤。 從技術上講,他設法破解了超級管理員的不安全密碼,”該團隊的帖子寫道。
“我可以訪問一個不安全的腳本,該腳本僅供超級管理員使用。 這個腳本允許他執行 SQL 注入並提取數據,”帖子說。 雖然去年 11 月沒有任何被黑客入侵的數據被洩露,但在 2022 年 15 月 XNUMX 日,OpenSubtitles 收到了一位提出類似請求的“原始黑客的貢獻者”的進一步通信。 無法聯繫到最初的黑客尋求幫助,XNUMX 月 XNUMX 日,該網站得知數據已在前一天在線洩露。
該項目 “我是不是被坑了?” 記錄數據並將其添加到數據庫中 搜索所有公共數據洩漏。 這允許用戶檢查他們的電子郵件地址或密碼是否已被洩露。
OpenSubtitles 表示, 信用卡信息沒有洩露。
“黑客可以訪問用戶帳戶。 所以你可以下載字幕等,但你沒有訪問信用卡或其他數據; 這些都存儲在我們的平台之外,”網站管理員“OSS”寫道。
OpenSubtitles 將黑客行為描述為“艱難的教訓”,承認其安全性缺陷。 因此,OpenSubtitles 此後通過在後台進行了一些更改來提高其安全性。
“該站點將密碼存儲在未加鹽的 md5() 哈希中,這些哈希已被 hash_hmac 和加鹽的 SHA-256 所取代,”OSS 說。 此外,OpenSubtitles 還引入了新的密碼策略、登錄嘗試失敗後的帳戶鎖定、密碼重置驗證碼、登錄頁面等地方。
最直接的威脅是在其他網站上使用相同電子郵件地址和密碼組合的用戶。 因此,攻擊者可以訪問第三方帳戶。 此外,對於經常使用相同憑據訪問門戶的 OpenSubtitles 用戶來說,這可能是個問題。
這就是為什麼如果我們的任何讀者是常客,建議他們更改 openSubtitles.org 和 openSubtitles.com 域中的密碼。
來源: https://forum.opensubtitles.org/