Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Knapp 7 Millionen Passwörter von Open Subtitles entwendet

Die Webseiten und das Forum von Open Subtitles wurden Opfer von Cyberkriminellen. Die konnten alle Zugangsdaten erbeuten. Nutzer müssen jetzt aktiv werden.

In Pocket speichern vorlesen Druckansicht 34 Kommentare lesen
Aufmacherbild 7 Mio PWs bei Open Subtitles gestohlen

(Bild: ra2 studio/Shutterstock.com)

Update
Lesezeit: 2 Min.
Security
Von

Open Subtitles ist ein recht populärer Dienst, der Untertitel-Dateien zu Filmen und Serien anbietet. Der Dienst lässt sich unter den Domains opensubtitles.org sowie opensubtitles.com erreichen und pflegt dort ein Diskussionsforum. Cyberkriminelle konnten im August 2021 die Benutzerdatenbank abgreifen. Obgleich die Open-Subtitles-Betreiber auf Lösegeldforderungen eingegangen waren, sind die Zugangsdaten nun im Internet aufgetaucht.

Die Nutzerdatenbank umfasst etwas mehr als 6,7 Millionen Einträge. Darin liegen E-Mail-Adressen, IPs, Nutzernamen, Herkunftsland der Nutzer, sowie Passwörter als MD5-Hashes ohne Salt. Durch das unsichere MD5-Verfahren sind die Passwörter faktisch geknackt. Das Have-i-been-pwned-Projekt hat die Daten aufgenommen und in der durchsuchbaren Datenbank aller öffentlichen Datenlecks ergänzt. Somit können Nutzer dort nachschauen, ob ihre E-Mail-Adresse oder Passwort kompromittiert wurden.

Die Betreiber von Open Subtitles erläutern im Forum Details zu den Angriffen. So konnten diese über ein schwaches Passwort eines SuperAdmins eindringen. Darüber erhielten die Angreifer Zugriff auf ein Skript, für das lediglich SuperAdmins Berechtigungen haben. Mit SQL-Injections in diesem Skript konnten die Angreifer schließlich die Nutzerdatenbank abgreifen.

Open Subtitles lassen sich in diversen Mediaplayern nutzen und etwa per Passwort-geschütztem API-Zugriff einbinden. Es ist also wichtig, die eigenen Passwörter bei Open Subtitles umgehend zu ändern. Zudem gelten die üblichen Sicherheitshinweise: Passwörter sollten für jeden Dienst individuell vergeben und nicht wiederverwendet werden. Nach Möglichkeit sollte zudem Zwei-Faktor-Authentifizierung, idealerweise mit kurzlebigen Einmalpasswörtern etwa mit einem Authenticator, für deutlich verbesserte Sicherheit zum Einsatz kommen.

[Update 20.01.2022 15:35 Uhr] Im ersten Absatz korrigiert, dass die Lösegeldforderung von den Betreibern bedient wurde.

Lesen Sie auch

(dmk)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten