opensubtitles はインターネット上で最大かつ最も人気のある字幕リポジトリのXNUMXつです。 何百万もの字幕ファイルが毎週多くの言語でダウンロードされ、ダウンロードされた映画やテレビ番組とペアになることがよくあります。
このサイトは、地元のパブでビールを数杯飲みながらアイデアを思いついたスロバキアのプログラマーによって2006年に設立されました。 昨日の遅くの発表に続いて、新たな危機に対処するためにより多くのビールが必要になるかもしれません。
OpenSubtitlesがハッキングされ、何百万ものサブスクライバーの詳細が公開されました
OpenSubtitlesフォーラムへの投稿で、サイト管理者の「oss」は、数百万人のメンバーがいるサイトがハッキングされたことを明らかにしています。 どうやら開発も新しいものではありません。
「2021年XNUMX月、ハッカーからTelegramに関するメッセージを受け取りました。ハッカーは、opensubtitles.orgのユーザーテーブルにアクセスできることを証明し、そこからSQLダンプをダウンロードしました。 彼は、これを一般に公開せず、データを削除することを約束するために、BTCの身代金を要求しました」と投稿は読んでいます。
「少額ではなかったので、ほとんど同意しませんでした。 彼はどのようにアクセスできるかを説明し、エラーの修正を手伝ってくれました。 技術面では、彼はSuperAdminのセキュリティの低いパスワードをハッキングすることができ、SuperAdminsだけが利用できるセキュリティで保護されていないスクリプトにアクセスできました。 このスクリプトにより、彼はSQLインジェクションを実行し、データを抽出することができました。」
ハッカーがすべてのユーザーデータにアクセスできるようになった
「oss」によると、ハッカーは電子メールアドレス、ユーザー名、パスワードにアクセスできましたが、支払いが行われた後にデータが消去されると約束しました。 その約束は守られなかった。
昨年11月にメンバーデータが漏洩することはありませんでしたが、2022年15月XNUMX日、OpenSubtitlesは、同様の要求を行った「元のハッカーの協力者」から新しい通信を受け取りました。 元のハッカーに助けを求めても何の効果もありませんでした。XNUMX月XNUMX日、サイトはデータが前日にオンラインで漏洩したことを知りました。
確かに、データ侵害サイトでの検索 私はPwnedされている OpenSubtitlesなどで言及されているすべてのデータを含むデータベースが現在野生になっていることを示しています。
「2021年7月、字幕作成WebサイトのOpen Subtitlesは、データ侵害とそれに続く身代金要求に見舞われました。 この侵害により、電子メールとIPアドレス、ユーザー名、ユーザーの国、無塩のMD5ハッシュとして保存されたパスワードなど、約XNUMX万人の加入者の個人データが公開されました」とサイトは報告しています。
OpenSubtitlesが講じた措置
OpenSubtitlesは、ハッキングを「難しい教訓」と表現し、セキュリティの失敗を認めています。 プラットフォームはサイトの保護に時間とお金を費やしており、メンバーはパスワードをリセットする必要があります。 ただし、データが侵害された人にとっては、被害を防ぐにはすでに手遅れになっている可能性があります。
ハッカーはすでに数か月間データにアクセスしており、現在、侵害が発生しているため、問題は確実にエスカレートする可能性があります。 非常に強力なパスワードを持っている人は、推測しやすいオプションを選んだ人よりも安全かもしれませんが、OpenSubtitlesによると、前者は少数派です。
OpenSubtitlesメンバーへの脅威
おそらく最も差し迫った脅威は、他のサイトで同じ電子メールアドレスとパスワードの組み合わせを使用したユーザーに関係しています。 これらが実際に使用されていると、攻撃者がサードパーティのアカウントを侵害する可能性があるため、影響を受けるユーザーにとっては、これらの資格情報をすぐに変更することを優先する必要があります。 1Password.
OpenSubtitlesユーザーにとってのもうXNUMXつの懸念は、多くが海賊サイトのメンバーである可能性が高いことです。 それらに同じクレデンシャルを使用した場合、それは明らかに問題ですが、Have I been Pwnedからのレポートが正しければ、それらの電子メールアドレスをIPアドレスとも一致させることができます。
それが第三者の利益になるかどうかは時が経てばわかりますが、プライバシーの観点からは、状況は確かに最適ではありません。 OpenSubtitlesは正式に ラベル を含む世界中の多くの地域や裁判所での海賊サービスとして オーストラリア, ギリシャ, ノルウェー プラットフォームをISPによってブロックするように命令しました。
違反と取るべき行動の詳細については、 こちら
