Администрация сайта OpenSubtitles, который предоставляет бесплатные субтитры для различных фильмов, сериалов и так далее, призналась, что в прошлом году ресурс был взломан. Атака затронула данные 6,7 млн пользователей, но хакеры получили выкуп за свое молчание. Напомню, что OpenSubtitles входит в 5000 самых посещаемых сайтов в интернете по версии Amazon Alexa и Tranco.
Сообщить о прошлогодней атаке OpenSubtitles вынудила произошедшая на этой неделе утечка: украденные в прошлом году данные все же просочились в сеть, и копию этих файлов уже проиндексировал сайт HaveIBeenPwned.
New breach: Open Subtitles had almost 7M accounts breached and ransomed in Aug. Data included email and IP addresses, usernames and unsalted MD5 password hashes. 75% were already in @haveibeenpwned. Read more: https://t.co/bXCD897HRC
— Have I Been Pwned (@haveibeenpwned) January 19, 2022
Как заявляет OpenSubtitles, в ходе инцидента были украдены данные 6 783 158 пользователей, зарегистрированных на сайте. В руки злоумышленников попали хэши email-адресов, имена пользователей и пароли в виде MD5.
«Сайт был создан в 2006 году, мы мало знали о безопасности, поэтому пароли хранились в виде md5() без соли», — пишут операторы OpenSubtitles.
Фактически это означает, что большинство похищенных паролей можно легко взломать, а на сайте уже появилось сообщение о том, что код OpenSubtitles обновился, и пользователям теперь рекомендуется поменять пароли.
Согласно официальному заявлению, взлом и вымогательство имели место еще в августе 2021 года. Причем во взломе операторы сайта винят одного из администраторов, который использовал слабый пароль.
«В августе 2021 года мы получили сообщение в Telegram от хакера, который предоставил нам доказательства того, что он может получить доступ к пользовательской таблице opensubtitles.org, и уже скачал оттуда SQL-дамп.
Он потребовал выкуп в BTC, чтобы не разглашать эту информацию и пообещал удалить все [украденные] данные.
Мы с трудом согласились, потому что сумма была немалая. После хакер объяснил нам, как он смог получить доступ, и помог нам исправить ошибку. С технической точки зрения он сумел взломать слабый пароль суперадмина и получил доступ к незащищенному скрипту, который был доступен только для суперадминистраторов. Этот скрипт позволял выполнять SQL-инъекции и извлекать данные», — гласит официальное объяснение.
