Site para baixar legendas vaza dados de 7 milhões e aprende a não confiar em hackers

O site Open Subtitles recebeu, em agosto, uma mensagem de um hacker. Ele havia obtido acesso à tabela de usuários e baixado os registros. Para não divulgar o conteúdo, ele pediu uma quantia em bitcoins, e a página decidiu pagar. Mesmo assim, ele vazou os dados de 7 milhões de contas na semana passada.

  • Como criar senhas seguras para aplicativos e sites
  • 10 aplicativos gerenciadores de senhas
Tentativa de login suspeita bloqueada (Imagem: Lewis Kang'ethe Ngugi/Unsplash)
Hacker conseguiu acesso a tabela com e-mails e senhas com criptografia fraca (Imagem: Lewis Kang’ethe Ngugi/Unsplash)

O incidente foi revelado por um dos administradores do site de legendas no fórum da página. Ele conta que a equipe acabou concordando em pagar o resgate em bitcoins, mesmo não sendo uma quantia pequena.

O hacker, então, explicou como conseguiu entrar no sistema e ajudou a corrigir o erro. Ele contou ter conseguido hackear uma senha pouco segura de um SuperAdmin. Isso deu a ele acesso a um script disponível apenas a esse tipo de usuário. Assim, foi possível executar comandos de SQL e extrair os dados.

Mesmo com acesso a todos os dados de todos os usuários, como e-mail, nome de usuário e senha, o hacker prometeu apagar os registros que havia baixado. Só que ele não cumpriu sua promessa.

Hacker recebe pagamento e vaza dados mesmo assim

Mesmo com o pagamento e com a ajuda para corrigir os problemas de segurança, o hacker vazou os dados de quase 7 milhões de usuários na última sexta-feira (14).

Os registros contém endereços de e-mail, localização geográfica, endereços de IP, senhas e nomes de usuário. As informações são do site Have I Been Pwned?, que monitora incidentes desse tipo.

O vazamento inclui apenas senhas do opensubtitles.org. A versão .com do site, mas moderna, não foi afetada.

Vazamento de senha (imagem ilustrativa: Imagem por Carlos Alberto Teixeira/Pixabay)
Vazamento de senha (Imagem ilustrativa: Carlos Alberto Teixeira/Pixabay)

“É uma dura lição para nós”, disse um dos administradores no post revelando o episódio. “Em primeiro lugar, se um site é hackeado, você deve falar o mínimo possível com o hacker. Se ele prometer alguma coisa, como nós aprendemos pelo modo difícil, isso não significa nada.”

Um problema do Open Subtitles era que as senhas eram armazenadas no banco de dados com criptografia MD5 “sem sal”. Sal, em criptografia, é um elemento aleatório usado para evitar que duas senhas idênticas tenham hashes também idênticos. Sem isso, fica fácil para um atacante chegar até as senhas mais comuns.

Open Subtitles toma medidas

Para evitar que vazamentos do tipo se repitam, os administradores do Open Subtitles já tomaram algumas medidas de segurança para o site .org. Essas medidas já estavam em vigor na versão .com.

As contas agora ficarão bloqueadas depois de alguns logins. Há uma nova política de senhas, e as informações de sessão não ficarão mais na mesma tabela, o que protege os endereços de IP. Também há captchas na hora de fazer login, criar uma conta e resetar a senha. A criptografia passou a ser hash_hmac e sha256 com sal. Os hashes md5 das senhas foram deletados.

Além disso, a página recomenda resetar as senhas no site e em outros lugares em que ela foi reutilizada. Outra sugestão é usar um gerenciador de senhas para evitar repetições.

Site para baixar legendas vaza dados de 7 milhões e aprende a não confiar em hackers


android localizador


Fonte: https://tecnoblog.net/noticias/2022/01/19/site-para-baixar-legendas-vaza-dados-de-7-milhoes-e-aprende-a-nao-confiar-em-hackers/
Site para baixar legendas vaza dados de 7 milhões e aprende a não confiar em hackers Site para baixar legendas vaza dados de 7 milhões e aprende a não confiar em hackers Reviewed by MeuSPY on janeiro 19, 2022 Rating: 5

Nenhum comentário:

Antes de deixar um comentário, acesse o site meuspy.com e veja como é fácil espionar celulares.

Tecnologia do Blogger.