AccueilSécuritéPrès de 7 millions de mots de passe détournés d'Open Subtitles

Près de 7 millions de mots de passe détournés d’Open Subtitles

Open Subtitles est un service très populaire qui propose des fichiers de sous-titres de films et de séries. Le service est accessible via les domaines opensubtitles.org et opensubtitles.com, où il gère un forum de discussion. Des cybercriminels ont pu accéder à la base de données des utilisateurs en août 2021. Les exploitants d’Open-Subtitles n’ayant pas répondu aux demandes de rançon, les données d’accès ont été retrouvées sur Internet.

La base de données des utilisateurs comprend un peu plus de 6,7 millions d’entrées. Elle contient des adresses e-mail, des IP, des noms d’utilisateur, le pays d’origine des utilisateurs ainsi que des mots de passe sous forme de hachage MD5 sans salt. Grâce à la procédure MD5 peu sûre, les mots de passe sont en fait craqués. Le projet Have-i-been-pwned a enregistré les données et les a ajoutées à la base de données consultable de toutes les fuites de données publiques. Les utilisateurs peuvent ainsi vérifier si leur adresse électronique ou leur mot de passe ont été compromis.

Sommaire

Les exploitants d’Open Subtitles expliquent sur le forum les détails des attaques. Ainsi, elles ont pu s’introduire via un mot de passe faible d’un SuperAdmin. Les pirates ont ainsi pu accéder à un script pour lequel seuls les SuperAdmins ont des autorisations. Grâce à des injections SQL dans ce script, les pirates ont finalement pu accéder à la base de données des utilisateurs.

Les sous-titres ouverts peuvent être utilisés dans divers lecteurs multimédias et être intégrés via un accès API protégé par mot de passe. Il est donc important de modifier immédiatement ses propres mots de passe pour Open Subtitles. En outre, les consignes de sécurité habituelles s’appliquent : Les mots de passe doivent être attribués individuellement pour chaque service et ne doivent pas être réutilisés. Dans la mesure du possible, il convient également d’utiliser une authentification à deux facteurs, idéalement avec des mots de passe à usage unique et de courte durée, par exemple avec un Authenticator, pour une sécurité nettement améliorée.

Lire aussi

Plus d'articles