De accountgegevens en wachtwoorden van 6,7 miljoen gebruikers van OpenSubtitles.org zijn in augustus 2021 gelekt na een hack en ransomwareaanval. Pas nu heeft de website dit aan gebruikers verteld. De gegevens zijn inmiddels toegevoegd aan Have I Been Pwned.
In een forumpost leggen de admins van de site uit dat zij in augustus 2021 benaderd zijn door een persoon die toegang had tot gebruikersgegevens. Hij vroeg een dwangsom om de gegevens te verwijderen en niet te openbaren. De aanvaller had toegang tot de inloggegevens, e-mailadressen, IP-adressen, land van herkomst en ontsleutelde wachtwoorden van in totaal 6.783.158 accounts. Die inloggegevens zijn toegevoegd aan de wachtwoorddatabase van Have I Been Pwned.
De admins van OpenSubtitles.org leggen uit dat de wachtwoorden versleuteld waren met md5-hashes zonder salt, waardoor korte wachtwoorden makkelijk ontsleuteld konden worden. De aanvaller kreeg toegang tot de site door een slecht beveiligde SuperAdmin-account en een onbeveiligd script. Hierdoor kon de aanvaller SQL-injecties uitvoeren en de data stelen.
Volgens de admins hebben zij 'amper' gehoor gegeven aan de ransomware-eis, omdat het geldbedrag te hoog was. Wat dat precies betekent leggen zij niet uit. Wel vertellen ze dat de aanvaller hen heeft geholpen de site beter te beveiligen door uit te leggen waar de kwetsbaarheid zat. Ook had hij beloofd de buitgemaakte data te verwijderen. De harde les die de admins naar eigen zeggen hebben geleerd is dat de beloftes van een aanvaller niets waard zijn, omdat hij alsnog de wachtwoorden openbaar gemaakt heeft.
Volgens de admins heeft de hacker geen toegang gekregen tot creditcardgegevens van gebruikers, omdat die extern opgeslagen zijn. Wel heeft hij toegang gekregen tot accounts, met name die met korte of slechte wachtwoorden, omdat die makkelijk te ontsleutelen zijn. De site raadt aan het wachtwoord aan te passen. Daarnaast heeft het de beveiliging inmiddels verbeterd.