6.783.158 emails, nombres de usuario, contraseñas, direcciones IP y ubicaciones geográficas han quedado expuestas en un hackeo a OpenSubtitles, una popular web para descargar subtítulos de series y películas.
Según un mensaje publicado en el foro de la comunidad, un hacker obtuvo acceso a todos los datos de los usuarios en agosto de 2021. El atacante pidió después un rescate a los administradores del sitio a través de Telegram, con la promesa de que borraría todos los datos después de un pago en Bitcoin.
OpenSubtitles aceptó pagar la suma, que “no era poca”, y el hacker les contó cómo lo había hecho. Primero, obtuvo acceso de SuperAdmin gracias a una contraseña de baja seguridad. Con ese nivel de privilegios, accedió a un script vulnerable que le permitió realizar inyecciones SQL y extraer todos los datos.
OpenSubtitles se creó en 2006 con escasa atención a la seguridad, por lo que todas las contraseñas estaban almacenadas en hashes md5 sin sal. Esto significa que las contraseñas de menos de 10 caracteres sin números ni símbolos (la gran mayoría) eran fácilmente descifrables por algoritmos de descifrado. Por suerte, no había números de tarjetas de crédito almacenados.
Los administradores del sitio reconocen que deberían haber mejorado la seguridad de su plataforma “hace mucho tiempo”, y solicitan a todos los usuarios que cambien sus contraseñas en opensubtitles.org y opensubtitles.com, así como en otras webs donde repitan contraseña.
Para comprobar si eres uno de los casi 7 millones de afectados por el hackeo, visita haveibeenpwned.com e introduce tu email en el buscador. Esta web ha obtenido los emails filtrados de la mano de OpenSubtitles.
Puedes restablecer las claves de OpenSubtitles a través de estos enlaces:
- Restablecer la contraseña de www.opensubtitles.org
- Restablecer la contraseña de www.opensubtitles.com
- Restablecer la contraseña de forum.opensubtitles.org
El sitio ha mejorado su seguridad con varias medidas. Se ha implementado una nueva política de contraseñas, se ha eliminado la información de la sesión de la tabla de datos, las IPs ya no deberían ser falsificables, hará falta rellenar un captcha para iniciar sesión, registrarse, restablecer contraseña, etc. Y ahora, las contraseñas de los usuarios se almacenan de forma segura usando algoritmos hash_hmac y sha256 con sal y pimienta. Todas las contraseñas md5 se han eliminado del servidor.