Сайт OpenSubtitles был взломан, а его администрация заплатила выкуп хакерам

Администрация сайта OpenSubtitles, который предоставляет бесплатные субтитры для различных фильмов, сериалов и так далее, призналась, что в прошлом году ресурс был взломан. Атака затронула данные 6,7 млн пользователей, но хакеры получили выкуп за свое молчание. Напомню, что OpenSubtitles входит в 5000 самых посещаемых сайтов в интернете по версии Amazon Alexa и Tranco, пишет Хакер.

Сообщить о прошлогодней атаке OpenSubtitles вынудила произошедшая на этой неделе утечка: украденные в прошлом году данные все же просочились в сеть, и копию этих файлов уже проиндексировал сайт HaveIBeenPwned.

Как заявляет OpenSubtitles, в ходе инцидента были украдены данные 6 783 158 пользователей, зарегистрированных на сайте. В руки злоумышленников попали хэши email-адресов, имена пользователей и пароли в виде MD5.

«Сайт был создан в 2006 году, мы мало знали о безопасности, поэтому пароли хранились в виде md5() без соли», — пишут операторы OpenSubtitles.

Фактически это означает, что большинство похищенных паролей можно легко взломать, а на сайте уже появилось сообщение о том, что код OpenSubtitles обновился, и пользователям теперь рекомендуется поменять пароли.

Согласно официальному заявлению, взлом и вымогательство имели место еще в августе 2021 года. Причем во взломе операторы сайта винят одного из администраторов, который использовал слабый пароль.

«В августе 2021 года мы получили сообщение в Telegram от хакера, который предоставил нам доказательства того, что он может получить доступ к пользовательской таблице opensubtitles.org, и уже скачал оттуда SQL-дамп.

Он потребовал выкуп в BTC, чтобы не разглашать эту информацию и пообещал удалить все [украденные] данные.

Мы с трудом согласились, потому что сумма была немалая. После хакер объяснил нам, как он смог получить доступ, и помог нам исправить ошибку. С технической точки зрения он сумел взломать слабый пароль суперадмина и получил доступ к незащищенному скрипту, который был доступен только для суперадминистраторов. Этот скрипт позволял выполнять SQL-инъекции и извлекать данные», — гласит официальное объяснение.