Knapp 7 Millionen Passwörter von Open Subtitles entwendet

Open Subtitles ist ein recht populärer Dienst, der Untertitel-Dateien zu Filmen und Serien anbietet. Der Dienst lässt sich unter den Domains opensubtitles.org sowie opensubtitles.com erreichen und pflegt dort ein Diskussionsforum. Cyberkriminelle konnten im August 2021 die Benutzerdatenbank abgreifen. Nachdem die Open-Subtitles-Betreiber nicht auf Lösegeldforderungen eingegangen waren, sind die Zugangsdaten nun im Internet aufgetaucht.

Die Nutzerdatenbank umfasst etwas mehr als 6,7 Millionen Einträge. Darin liegen E-Mail-Adressen, IPs, Nutzernamen, Herkunftsland der Nutzer, sowie Passwörter als MD5-Hashes ohne Salt. Durch das unsichere MD5-Verfahren sind die Passwörter faktisch geknackt. Das Have-i-been-pwned-Projekt hat die Daten aufgenommen und in der durchsuchbaren Datenbank aller öffentlichen Datenlecks ergänzt. Somit können Nutzer dort nachschauen, ob ihre E-Mail-Adresse oder Passwort kompromittiert wurden.

Schutzmaßnahmen

Die Betreiber von Open Subtitles erläutern im Forum Details zu den Angriffen. So konnten diese über ein schwaches Passwort eines SuperAdmins eindringen. Darüber erhielten die Angreifer Zugriff auf ein Skript, für das lediglich SuperAdmins Berechtigungen haben. Mit SQL-Injections in diesem Skript konnten die Angreifer schließlich die Nutzerdatenbank abgreifen.

Open Subtiltes lassen sich in diversen Mediaplayern nutzen und etwa per Passwort-geschütztem API-Zugriff einbinden. Es ist also wichtig, die eigenen Passwörter bei Open Subtitles umgehend zu ändern. Zudem gelten die üblichen Sicherheitshinweise: Passwörter sollten für jeden Dienst individuell vergeben und nicht wiederverwendet werden. Nach Möglichkeit sollte zudem Zwei-Faktor-Authentifizierung, idealerweise mit kurzlebigen Einmalpasswörtern etwa mit einem Authenticator, für deutlich verbesserte Sicherheit zum Einsatz kommen.

(dmk)