Datenleck: Opensubtitles gehackt

Die Daten von rund sieben Millionen Nutzern stehen offen im Internet - darunter auch die Zugangsdaten.

Artikel veröffentlicht am ,
Wer Untertitel nutzt, sollte prüfen, ob er von dem Hack betroffen ist.
Wer Untertitel nutzt, sollte prüfen, ob er von dem Hack betroffen ist. (Bild: mohamed_hassan/Pixabay)

Mit Opensubtitles ist eines der größten Archive für Untertiteldateien für Filme und Serien im Internet einem Angriff zum Opfer gefallen. Den Betreibern zufolge konnten Angreifer auf die Daten von rund sieben Millionen Abonnenten zugreifen. Obwohl ein Lösegeld gezahlt worden sein soll, haben der oder die Angreifer die Daten online gestellt.

Stellenmarkt
  1. Qualifizierter Sachbearbeiter (m/w/d) Digitalisierung / Datenbanken
    Bundesarbeitsgemeinschaft für Rehabilitation e.V., Frankfurt am Main
  2. Software Consultant/IT-Projektmanager (m/w/d) Versandlogistik
    ecovium GmbH, Neustadt am Rübenberge
Detailsuche

"Im August 2021 erhielten wir eine Nachricht auf Telegram von einem Hacker, der uns bewies, dass er sich Zugang zur Benutzertabelle von Opensubtitles.org verschaffen konnte und einen SQL-Dump davon heruntergeladen hat", heißt es in einem Forenbeitrag auf der Webseite. Demnach haben die Angreifer ein Lösegeld in Bitcoin verlangt und versprochen, nicht an die Öffentlichkeit zu gehen und die Daten zu löschen.

Dem Angebot habe man zugestimmt, obwohl es sich um eine recht hohe Summe gehandelt habe. Anschließend hätten die Angreifer dabei geholfen, die Sicherheitslücke zu beheben, heißt es in dem Beitrag weiter. Technisch sei es den Angreifern gelungen, ein schlechtes Passwort von einem Super-Admin zu knacken und mit diesem Zugang ein Skript auszuführen, das nur für eben jene Admins gedacht gewesen sei. Damit wiederum konnte mittels SQL-Injektionen die Nutzerdatenbank heruntergeladen werden.

E-Mail-Adressen und schlecht gehashte Passwörter

Dabei hätten sich der oder die Angreifer Zugriff auf alle Nutzerdaten der fast sieben Millionen Abonnenten verschafft - darunter E-Mail- und IP-Adressen, Benutzernamen und Passwörter. Letztere waren mit dem leicht zu knackenden Verfahren MD5 gehasht.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Akademie
  1. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    19.-21.07.2022, Virtuell
  2. Linux-Systeme absichern und härten: virtueller Drei-Tage-Workshop
    07.-09.06.2022, Virtuell
Weitere IT-Trainings

Das Versprechen, die Daten nicht zu veröffentlichen, wurde jedoch offensichtlich nicht gehalten: Die Datenbank wurde am 14. Januar 2022 im Internet veröffentlicht. Erst daraufhin warnte Opensubtitles seine Nutzer vor dem Datenleck. Insbesondere Nutzer, die die gleichen Zugangsdaten auch bei anderen Diensten verwendet haben, sind jedoch seit August 2021 akut gefährdet - ohne es zu wissen.

Opensubtitles selbst bezeichnet den Hack als "harte Lektion" und räumt Versäumnisse bei der Sicherheit ein. Nun habe man Zeit und Geld in die Sicherheit der Plattform investiert und die Nutzer aufgefordert, ihre Passwörter zurückzusetzen. Über die Plattform Have I Been Pwned (HIBP) kann man herausfinden, ob man vom Datenleck betroffen ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Geleaktes One Outlook ausprobiert
Wie Outlook Web, nur besser

Endlich wird das schreckliche Mail-Programm in Windows 10 und 11 ersetzt. One Outlook ist zudem mehr, als nur Outlook im Browser.
Ein Hands-on von Oliver Nickel

Geleaktes One Outlook ausprobiert: Wie Outlook Web, nur besser
Artikel
  1. Recht auf Verschlüsselung: Wissing beunruhigt über Pläne zur Chatkontrolle
    Recht auf Verschlüsselung
    Wissing beunruhigt über Pläne zur Chatkontrolle

    In einem ausführlichen Statement hat sich Digitalminister Wissing zu Wort gemeldet. Die Pläne zur Chatkontrolle gehen ihm zu weit.

  2. Was man aus realen Cyberattacken lernen kann
     
    Was man aus realen Cyberattacken lernen kann

    "Hätte ich das mal vorher gewusst!" Die Threat Hunter von Sophos haben ihre Erfahrungen im täglichen Kampf gegen Cyberkriminelle in einem Kompendium zusammengefasst. Jedes Kapitel enthält praxisorientierte IT-Sicherheitsempfehlungen für Unternehmen.
    Sponsored Post von Sophos

  3. Vizio: GPL-Durchsetzung darf als Verbraucherklage verhandelt werden
    Vizio
    GPL-Durchsetzung darf als Verbraucherklage verhandelt werden

    Erstmals erkennt ein US-Gericht an, dass aus der GPL auch Verbraucherrechte folgen könnten. Die Kläger bezeichnen das als "Wendepunkt".

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 400€ Rabatt auf Gaming-Stühle • AOC G3 Gaming-Monitor 34" UWQHD 165 Hz günstig wie nie: 404€ • Xbox Series X bestellbar • MindStar (u.a. Gigabyte RTX 3090 24GB 1.699€) • LG OLED TV (2021) 65" 120 Hz 1.499€ statt 2.799€ [Werbung]
    •  /