OpenSubtitles, popolare sito Web di sottotitoli, ha subito una violazione dei dati ha colpito 6.783.158 di abbonati. I dati esposti includono email e indirizzi IP, username, la provenienza degli utenti e le password crittografate in hash MD5 “unsalted”.
L’attore malevolo sembrerebbe abbia sfruttato una SQL injection per accedere al database del sito web. L’amministratore del sito Web è venuto a conoscenza dell’hacking dopo che un hacker lo aveva notificato tramite Telegram nell’agosto 2021 chiedendo il pagamento di un riscatto e offrendo, altresì, il suo supporto a OpenSubtitles per affrontare le falle di sicurezza trovate sul sito web.
Gli amministratori del sito Web accettarono di pagare il riscatto visto l’importo basso, ma dopo aver ricevuto il riscatto, gli aggressori non li hanno mai aiutati a proteggere il sito Web e l’11 gennaio 2022 hanno fatto trapelare i dati online.
OpenSubtitles ha informato che i dati finanziari degli abbonati non sono stati compromessi dall’attaccante, ha consigliato agli abbonati di cambiare la password di opensubtitles.org e opensubtitles.com e del forum e ha annunciato il miglioramento della sicurezza del sito Web, inclusa l’introduzione di una nuova politica per le password.
“The site SHOULD be more secure now, we improved the way users are connecting to the site, the accounts will be locked after some successful logins, we introduced new password policy, we removed session info from table, IP should not be spoofable anymore, Captchas on login, register, password-reset, CSRF on forms, requests will be cancelled if admins change their IP during session, user passwords are saved in safe form using hash_hmac and sha256 algo with salt and pepper, all md5() passwords are deleted. For IT geeks – yes, we are using password_hash(), with peppered sha256 password, BCRYPT and for verification password_verify()” concludes the notification. “Note that our new site, opensubtitles.com was built with stronger security concerns, and already included all the points described above.”
https://securityaffairs.co/wordpress/127092/data-breach/opensubtitles-data-breach.html