Le site Web de sous-titres de télévision et de films OpenSubtitles a demandé aux utilisateurs de sécuriser à nouveau leurs comptes après leur avoir envoyé leurs mots de passe en clair.
Le site Web, qui permet aux utilisateurs de télécharger des sous-titres codés de leurs films préférés dans différentes langues, a fait l’objet d’une violation de données en août 2021, après qu’un attaquant inconnu y ait eu accès via une attaque par injection SQL.
Cet incident n’a été révélé que la semaine dernière, lorsque les administrateurs Web ont divulgué les détails de la violation sur le forum OpenSubtitles.
Les propriétaires du site ont pris des mesures pour sécuriser les comptes d’utilisateurs en leur demandant de réinitialiser leurs mots de passe – cependant, dans un autre souci de sécurité, ils ont envoyé aux victimes leurs nouveaux mots de passe en clair.
« Comme certains utilisateurs l’ont souligné dans ce fil, envoyer un mot de passe en clair n’est pas une si bonne idée, nous avons donc complètement changé le système de réinitialisation du mot de passe, il n’y a plus de mot de passe en clair dans les e-mails, seulement des liens de réinitialisation de mot de passe », ont admis les administrateurs dans un fil de discussion.
L’incident
La violation de données d’OpenSubtitles s’est produite en août 2021, lorsque les administrateurs du site Web ont reçu un message sur Telegram de quelqu’un qui a dit qu’ils pouvaient accéder à la table des utilisateurs d’opensubtitles.org et télécharger un vidage SQL à partir de celle-ci.
Selon les administrateurs Web, l’attaquant a démontré comment il était capable d’accéder aux noms d’utilisateur, aux adresses e-mail et aux mots de passe.
Un message sur le forum disait: « [The hacker] nous a expliqué comment il pouvait y accéder et nous a aidés à corriger l’erreur.
« Sur le plan technique, il a pu pirater le mot de passe à faible sécurité d’un SuperAdmin et a eu accès à un script non sécurisé, qui n’était disponible que pour les SuperAdmins. Ce script lui a permis d’effectuer des injections SQL et d’extraire les données.
TU PEUX AIMER Cryptage BitLocker : le stockage des clés en texte clair suscite un débat sur la sécurité en ligne
Les propriétaires du site Web ont admis que le site avait été créé en 2006 « avec peu de connaissances en matière de sécurité », ce qui signifie que les mots de passe étaient stockés dans des hachages MD5 sans être salés.
Si un titulaire de compte utilisait un mot de passe fort, il devrait être sûr, mais des mots de passe simples et courts pourraient être extraits assez facilement de ces données.
« La plupart des utilisateurs n’ont pas utilisé ces mots de passe forts », explique le message. « Ça veut dire [a] pirate peut accéder aux comptes d’utilisateurs. Donc il [the hacker] peut télécharger des sous-titres, etc.
Ils ont ajouté que l’attaquant n’a eu accès à aucune information de paiement, qui est stockée en dehors de sa plate-forme.
Sécurité avancée
OpenSubtitles a maintenant utilisé d’autres mesures de sécurité, selon le message du forum, notamment l’introduction d’une nouvelle politique de mot de passe, la suppression des informations de session de la table, l’introduction de Captchas lors de la connexion et le stockage des mots de passe des utilisateurs sous une forme sûre en utilisant hash_hmac et les algorithmes SHA-256 avec du sel et du poivre.
« Pour les geeks de l’informatique – oui, nous utilisons mot_de_passe_hachage()avec mot de passe sha256 poivré, BCRYPT et pour vérification password_verify()« , ont conclu les administrateurs.
