Hackes vazam milhões de dados do Opensubtitles.org

Claylson Martins
4 minutos de leitura

Endereços de e-mail e IP, nomes de usuário e senhas. Tudo isso somado chega a casa dos milhões no site Opensubtitles.org que foi invadido e no qual os hackers vazaram milhões de dados importantes. O OpenSubtitles é um popular site de legendas de filmes e séries.

A equipe responsável pelo OpenSubtitles, anunciou que o site havia sido atacado por um hacker. Além disso, os cibercriminosos vazaram todo o banco de dados online. Foram aproximadamente 7 milhões de dados expostos. Além disso, a equipe sabia do vazamento pelo menos desde agosto de 2021 quando receberam um contato do hacker por meio do Telegram.

O OpenSubtitles é um serviço muito popular que oferece arquivos de legendas para filmes e séries. O serviço é acessível através dos domínios “opensubtitles.org” e “opensubtitles.com”. Então, por eles, podemos acessar também um fórum de discussão.

Hackes vazam milhões de dados do Opensubtitles.org

Hackes vazam milhões de dados do Opensubtitles.org
Hackes vazam milhões de dados do Opensubtitles.org

De acordo com a mensagem dos administradores do site, os operadores do OpenSubtitles não responderam aos pedidos de resgate. Sendo assim, os dados de acesso agora estão disponíveis na Internet. De acordo com a equipe, o banco de dados de usuários é composto por pouco mais de 6,7 milhões de entradas.

O pacote contém endereços de e-mail, IPs, nomes de usuário, países de origem dos usuários e senhas na forma de um hash MD5. A equipe diz que pouco foi feito para reforçar a segurança nos últimos anos, o que permitiu ao invasor realizar uma injeção de SQL após comprometer a senha insegura de um superadministrador.

Em agosto de 2021, recebemos uma mensagem no Telegram de um hacker, que nos mostrou que conseguiu acessar a tabela de usuários opensubtitles.org e baixou um dump SQL (uma cópia dos dados brutos). Ele exigiu um resgate em bitcoins por não divulgar isso ao público e prometeu excluir os dados. Dificilmente aceitamos, porque não era uma quantia pequena. Ele nos disse como poderia obter acesso e nos ajudou a corrigir o erro. Tecnicamente, ele conseguiu hackear a senha insegura de um SuperAdmin, diz o post da equipe.

Tive acesso a um script inseguro, disponível apenas para SuperAdmins. Esse script permitiu que ele executasse injeções de SQL e extraísse os dados, dizia o post.

O vazamento ocorreu em 14 de janeiro deste ano. No entanto, a OpenSubtitles disse que as informações do cartão de crédito estão sem problemas.

O hacker pode ter acesso a contas de usuários. Então você pode baixar legendas e assim por diante, mas não teve acesso ao cartão de crédito ou outros dados; esses estão fora de nossa plataforma, escreveu o administrador do site, “OSS”.

OpenSubtitles reconheceu as falhas de segurança e descreveu o hack como uma “difícil lição. Portanto, a empresa garante que fez o reforço necessário para evitar novos vazamentos.

O site armazenou senhas em hashes md5() sem sal, que foram substituídos por hash_hmac e SHA-256 com sal”, disse o OSS. Além disso, OpenSubtitles também introduziu uma nova política de senha, bloqueio de conta após tentativas de login com falha, captcha na redefinição de senha, página de login e outros lugares.

Via DesdeLinux

Share This Article
Follow:
Jornalista com pós graduações em Economia, Jornalismo Digital e Radiodifusão. Nas horas não muito vagas, professor, fotógrafo, apaixonado por rádio e natureza.