Site para baixar legendas vaza dados de 7 milhões e aprende a não confiar em hackers

Open Subtitles é hackeado e paga resgate em bitcoin; hacker ajuda a melhorar segurança do site, mas vaza dados mesmo assim

Giovanni Santa Rosa
Vazamento de senha (imagem ilustrativa: Imagem por Carlos Alberto Teixeira/Pixabay)

O site Open Subtitles recebeu, em agosto, uma mensagem de um hacker. Ele havia obtido acesso à tabela de usuários e baixado os registros. Para não divulgar o conteúdo, ele pediu uma quantia em bitcoins, e a página decidiu pagar. Mesmo assim, ele vazou os dados de 7 milhões de contas na semana passada.

O incidente foi revelado por um dos administradores do site de legendas no fórum da página. Ele conta que a equipe acabou concordando em pagar o resgate em bitcoins, mesmo não sendo uma quantia pequena.

O hacker, então, explicou como conseguiu entrar no sistema e ajudou a corrigir o erro. Ele contou ter conseguido hackear uma senha pouco segura de um SuperAdmin. Isso deu a ele acesso a um script disponível apenas a esse tipo de usuário. Assim, foi possível executar comandos de SQL e extrair os dados.

Mesmo com acesso a todos os dados de todos os usuários, como e-mail, nome de usuário e senha, o hacker prometeu apagar os registros que havia baixado. Só que ele não cumpriu sua promessa.

Hacker recebe pagamento e vaza dados mesmo assim

Mesmo com o pagamento e com a ajuda para corrigir os problemas de segurança, o hacker vazou os dados de quase 7 milhões de usuários na última sexta-feira (14).

Os registros contém endereços de e-mail, localização geográfica, endereços de IP, senhas e nomes de usuário. As informações são do site Have I Been Pwned?, que monitora incidentes desse tipo.

O vazamento inclui apenas senhas do opensubtitles.org. A versão .com do site, mas moderna, não foi afetada.

Código SQL
Código SQL (Imagem: Unsplash/Caspar Camille Rubin)

“É uma dura lição para nós”, disse um dos administradores no post revelando o episódio. “Em primeiro lugar, se um site é hackeado, você deve falar o mínimo possível com o hacker. Se ele prometer alguma coisa, como nós aprendemos pelo modo difícil, isso não significa nada.”

Um problema do Open Subtitles era que as senhas eram armazenadas no banco de dados com criptografia MD5 “sem sal”. Sal, em criptografia, é um elemento aleatório usado para evitar que duas senhas idênticas tenham hashes também idênticos. Sem isso, fica fácil para um atacante chegar até as senhas mais comuns.

Open Subtitles toma medidas

Para evitar que vazamentos do tipo se repitam, os administradores do Open Subtitles já tomaram algumas medidas de segurança para o site .org. Essas medidas já estavam em vigor na versão .com.

As contas agora ficarão bloqueadas depois de alguns logins. Há uma nova política de senhas, e as informações de sessão não ficarão mais na mesma tabela, o que protege os endereços de IP. Também há captchas na hora de fazer login, criar uma conta e resetar a senha. A criptografia passou a ser hash_hmac e sha256 com sal. Os hashes md5 das senhas foram deletados.

Além disso, a página recomenda resetar as senhas no site e em outros lugares em que ela foi reutilizada. Outra sugestão é usar um gerenciador de senhas para evitar repetições.

Relacionados

Escrito por

Giovanni Santa Rosa

Giovanni Santa Rosa

Repórter

Giovanni Santa Rosa é formado em jornalismo pela ECA-USP e cobre ciência e tecnologia desde 2012. Foi editor-assistente do Gizmodo Brasil e escreveu para o UOL Tilt e para o Jornal da USP. Cobriu o Snapdragon Tech Summit, em Maui (EUA), o Fórum Internacional de Software Livre, em Porto Alegre (RS), e a Campus Party, em São Paulo (SP). Atualmente, é autor no Tecnoblog.