Open Subtitles: Hacker erbeutet Daten von 6,8 Millionen Nutzern

Update Michael Günsch
51 Kommentare
Open Subtitles: Hacker erbeutet Daten von 6,8 Millionen Nutzern
Bild: Pixabay

Wir wurden gehackt.“ Deutlicher können es die Betreiber der Plattform Open Subtitles nicht machen, auf der Untertitel-Dateien für Filme und Serien angeboten werden. Der Angreifer erlangte Zugriff auf sämtliche Nutzerdaten von circa 6,8 Millionen Accounts, die nun im Internet aufgetaucht sind.

Angreifer forderte Lösegeld

Der Angriff sei bereits im August 2021 erfolgt. Laut den Betreibern der Plattform konnte der Hacker das unsichere Passwort eines Super-Administrators knacken und dadurch Zugriff auf ein ungesichertes Skript erlangen, welches ihm ermöglicht habe, die Daten über SQL-Injections zu extrahieren. Die Sicherheitsmaßnahmen waren schlicht mangelhaft, wie die Betreiber eingestehen. Passwörter waren als MD5-Hashes ohne Salt hinterlegt.

Obwohl die Betreiber der Lösegeldforderung nachgekommen waren, landeten die Daten im Internet. Laut Have I Been Pwned zählen Passwörter, Nutzernamen, E-Mail-Adressen, IP-Adressen und Herkunftsländer zu den erbeuteten Daten. Auf der Website des Projekts können Anwender anhand ihrer E-Mail-Adresse prüfen, ob sie von dem Vorfall betroffen sind.

Alle Nutzer müssen Passwort ändern

Nutzer der Plattform werden jetzt dazu aufgerufen, umgehend ihre Passwörter für opensubtitles.org, opensubtitles.com und das dazugehörige Forum zu ändern. Da sich Open Subtitles in diversen Mediaplayern nutzen und etwa per Passwort-geschütztem API-Zugriff einbinden lassen, sei dies auch fernab der Nutzung der Websites wichtig, schreibt heise online. Sollte dasselbe Passwort anderweitig verwendet werden, ist es selbstverständlich auch dort nicht mehr sicher.

Weitere Details zu dem Vorfall sind der Mitteilung im OpenSubtitles-Forum zu entnehmen. Wie sich Programme, die Untertitel per API-Zugriff einbinden, nach der Passwortumstellung wieder nutzen lassen, beschreibt eine Anleitung.

Im Zuge der Verbesserung der Sicherheitsmaßnahmen wird die ursprüngliche Website opensubtitles.org eingestellt und künftig komplett auf opensubtitles.com umgezogen, wie heute in einem Update mitgeteilt wurde.

Update

In der ursprünglichen Meldung stand, dass die Betreiber der Lösegeldforderung nicht nachgekommen sind. Das war ein Übersetzungsfehler. Der Artikel wurde entsprechend korrigiert.

Du hast rund um den Black Friday einen tollen Technik-Deal gefunden? Teile ihn mit der Community!