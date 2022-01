Vorig jaar zijn de privégegevens van ruim 6,7 miljoen gebruikers van de website Open Subtitles gestolen via een zwak beheerderswachtwoord. Het gaat om e-mailadressen, ip-adressen, gebruikersnamen, geografische locaties en met het MD5-algoritme gehashte wachtwoorden. MD5 is een zwak algoritme voor het hashen van wachtwoorden, waardoor dergelijke wachtwoordhashes eenvoudig zijn te kraken.

Volgens de website, waar ondertitels voor films en series zijn te vinden, wist de aanvaller via het 'low security' wachtwoord van een 'SuperAdmin' binnen te komen. Vervolgens wist hij toegang te krijgen tot een onbeveiligd script dat alleen voor SuperAdmins beschikbaar was. Met dit script kon hij gebruikersgegevens uit de database stelen. De aanvaller eiste losgeld, anders zou hij de data openbaar maken, wat inmiddels ook is gebeurd.

Open Subtitles stelt dat de website in 2006 is opgericht, met weinig kennis van security, waardoor wachtwoorden alleen als MD5-hash werden opgeslagen. De website stelt dat de hashes van lange wachtwoorden lastig zijn te kraken, maar dat de meeste gebruikers zwakke wachtwoorden gebruikten. Gebruikers wordt dan ook aangeraden hun wachtwoord te wijzigen.

De e-mailadressen zijn nu aan datalekzoekmachine Have I Been Pwned toegevoegd. Via de zoekmachine kunnen gebruikers kijken of hun gegevens in bekende datalekken voorkomen. Van de 6,7 miljoen toegevoegde e-mailadressen was 75 procent al via een ander datalek bij Have I Been Pwned bekend.