Forum rules
Onder geen enkele voorwaarde is spammen, reclame of adverteren in welke vorm dan ook toegestaan. Plaats geen kwetsende, obscene, vulgaire, lasterlijke, haatdragende, bedreigende, seksueel-georiënteerde teksten, of ander materiaal dat anderen kan schaden. Vloeken, beledigen of enige andere vorm van brutaal gedrag naar andere leden (ongeacht rang) wordt niet getolereerd. Vergeet niet dat wat niet beledigend voor jou is, dat mogelijk wel is voor anderen. Behandel elkaar met het eerbied en respect dat je ook graag ontvangt van een ander. Het niet naleven van het voorgaande kan resulteren in het blokkeren van de betreffende gebruiker, eventueel zonder voorafgaande kennisgeving. Neem voor meer informatie contact op met "Het team", met behulp van de link onderaan de forumpagina. Bedankt.
User avatar
SmallBrother
Site Admin
Posts: 3724
Joined: Sun Mar 04, 2012 12:59 pm
Location: Somewhere on this globe

We zijn GEHACKT - wijzig wachtwoord!

Tue Jan 18, 2022 6:33 pm

Nederlandse vertaling van de oorspronkelijke post:

Beste OpenSubtitles users,

Wat is er gebeurd

We hebben slecht nieuws... We zijn gehackt.

In august 2021 ontvingen we een bericht op Telegram van een hacker, die bewijs liet zien dat hij toegang kon krijgen tot de database table met gebruikersinfo en een SQL-dump daarvan had gedownload.

Hij heeft om een losgeld in Bitcoin gevraagd om dit niet publiekelijk te maken en hij heeft beloofd om de gegevens te vernietigen.

Het was moeilijk om hiermee akkoord te gaan, want het was niet bepaald een klein bedrag. Hij heeft uitgelegd hoe hij teogang kon krijgen en heeft ons geholpen om het lek te dichten. Technisch gesproken, hij kon een zwak wachtwoord van een SuperAdmin kraken en zo toegang krijgen tot een onbeveiligd script dat alleen toegankelijk was voor SuperAdmins. Via dit script kon hij de database injecteren en de gegevens bemachtigen.

Hij heeft toegang gekregen tot alle gebruikersgegevens: email, gebruikersnaam, wachtwoord, etc.. Hij heeft beloofd dat deze gegevens gewist zouden worden en dat hij ons zou helpen de site te beveiligen, nadat we hadden betaald.

De site is gemaakt in 2006, met weinig kennis van beveiliging, waardoor wachtwoorden werden opgeslagen in MD5-hashes zonder 'zout' :( Dit betekent dat het veilig genoeg zou zijn als je sterke wachtwoorden zou gebruiken (laten we zeggen tenminste tien tekens bestaande uit een kleine letter, hoofdletter, cijfer en speciale tekens). Maar korte en gemakkelijke wachtwoorden, zeker als deze in het Engelse woordenboek voorkomen, zouden gemakkelijk genoeg kunnen worden gekraakt.

De meeste gebruikers hadden echter geen sterke wachtwoorden, waardoor de hacker toegang tot die gebruikersaccounts kon krijgen en ondertitels downloaden, etc.. Hij heeft geen toegang gekregen tot gegevens van creditscards en dergelijke, deze zijn opgeslagen buiten ons platform.

Wat je nu zou moeten doen

- Wijzig je wachtwoorden voor opensubtitles.org, opensubtitles.com en het forum (dit wordt gevraagd).
- Als je je wachtwoord voor opensubtitles.org ook voor iets anders gebruikt, wijzig dat dan ook. Dit is vooral belangrijk bij email-accounts en bij diensten die financiële of persoonlijke gegevens bevatten.

Wat wij hadden moeten doen

Dit is een harde les voor ons. Het is ongelooflijk dat de site nu is gehackt, 15 jaar later. De hacker zal er veel tjd en moeite aan moeten hebben besteed. Allereerst, als een site wordt gehackt, zou er minimaal met de hacker moeten zijn. De beloftes van de hacker betekenen in de realiteit helemaal niets, zoals we dit nu zelf hebben ondervonden. We hadden meer energie moeten steken in de beveiliging van de site en de oude MD5-zonder-salt wachtwoorden lang geleden eruit moeten gooien.

Wat wij al hebben gedaan

De site zou nu veiliger moeten zijn. We hebben de manier verbeterd waarop gebruikers contact met de site maken, de accounts worden na inloggen vastgezet, er is een nieuw wachtwoordbeleid, sessie-info staat niet meer in de database, IP-adressen zouden niet meer gefaket kunnen worden, captchas voor inloggen en registreren, resetten van wachtwoorden, CSRF bij formulieren, het blokkeren van serverrequests als een admins IP-adres wijzigt tijdens de sessie, wachtwoorden worden opgeslagen m.b.v. hash_hmac en het SHA-256 algoritme met 'zout' en 'peper', alle MD5-wachtwoorden zijn verwijderd.

Merk hierbij op dat de nieuwe site opensubtitles.com is gebouwd op sterkere veiligheidsnormen. Alle voornoemde veiligheidsaspecten zijn daarin al ingebouwd.

Laatste woorden

Accepteer onze nederige verontschuldigingen. Zoals je kunt zien, kan een hack op elk moment gebeuren en dan is er maar weinig wat je kunt doen. Zelfs het betalen van losgeld is geen garantie voor je veiligheid.

Gebruik niet hetzelfde wachtwoord voor meerdere websites, dat is de grootste fout die je kunt maken.

Als je je wachtwoord nog niet hebt gewijzigd, doe dat dan alsjeblieft nu meteen en gebruik een ander wachtwoord dan voorheen:

Wijzig wachtwoord voor www.opensubtitles.org
(Zorg ervoor dat je je huidige opensubtitles.org emailadres gebruikt. Je ontvangt dan een email met daarin een bevestigingslink waarop je moet klikken. Vervolgens kun je het tijdelijke wachtwoord gebruiken dat in diezelfde email staat vermeld.)

Wijzig wachtwoord voor www.opensubtitles.com

Wijzig wachtwoord voor forum.opensubtitles.org

Als je nog geen wachtwoordmanager gebruikt, dan is dit misschien wel een goed moment om dat te overwegen. Deze helpen bij het gebruiken van lange en complexe wachtwoorden, melden veiligheidsproblemen, het beheren van 2FA, en het geeft toegang tot al je wachtwoorden, waarbij je alleen maar één master-wachtwoord hoeft te onthouden, of je kunt het linken aan bijvoorbeeld een vingerafdruk.

Lijst met de beste wachtwoordmanagers

We zijn in contact met Troy Hunt. Als je hun service van HaveIbeenPwned nog niet gebruikt, dan is nu het goede moment.

We worden lid van HackTrophy om soortgelijke hacks in de toekomst te voorkomen. Het is beter om met white-hack hackers te dealen.

Deze post zal met de tijd worden geüpdate met belangrijke informatie.

-----

UPDATE 19 januari 2022

- Als je je wachtwoord wijzigt op bovengenoemde manier, wacht dan op de betreffende email. Verstuur NIET nogmaals een verzoek om wijziging, dit kan problemen veroorzaken. We gebruiken namelijk één bevestigingslink per gebruiker, dus een tweede verzoek om te wijzigen, geeft een foutmelding. Verzoek dus slechts één keer om een wachtwoordwijziging, wacht op de email en controleer ook de spam folder.

- Als je het wwachtwoord wilt wijzigen en het systeem meldt "email not found" ("email niet gevonden"), registreer je dan simpelweg helemaal opnieuw. We hebben de codering van de database gewijzigd, waarbij er duplicaten waren en enkele accounts zijn verdwenen.

- De OpenSubtitles Uploader werkt niet meer. We hebben contact opgenomen met de developer en gevraagd om de uploader te updaten, meer kunnen we niet doen dan daarop wachten.

- Als het echt niet lukt om het wachtwoord te wijzigen (het is mogelijk dat onze email wordt geblokkeerd), dan kun je contact met ons opnemen.

- De hack is gebeurd in augustus 2021, maar de gegevens zijn afgelopen vrijdag gelekt.

- Het is natuurlijk geen excuus, maar er zijn steeds meer hackers en ze worden steeds creatiever en hebberiger, en ze zijn net zo actief bij grote als bij kleine partijen. Als bedrijven zoals Microsoft, Facebook, Twitter, Nintendo en Zoom worden gehackt, welke kans hebben wij als klein team dat wij niet worden aangevallen?

-----

UPDATE 20 januari 2022

- Sommige API-programma's gebruiken MD5-wachtwoorden om te communiceren met de API. Voor meer info, zie viewtopic.php?f=11&p=46892#p46892
- Het beantwoorden van honderden emails.
- We werken aan een beter systeem om de wachtwoorden te resetten, zoals aangegeven in posts van users.
- OpenSubtitles.org is een END OF LIFE project - we gaan zo spoedig mogelijk volledig over op www.opensubtitles.com maar dit kan nog een jaar duren.

-----

UPDATE 21 januari 2022
Zoals een gebruiker in de oorspronkelijke Engelstalige thread heeft aangegeven, is het per email versturen van onversleutelde wachtwoorden geen goed idee. We hebben het systeem om wachtwoorden te resetten veranderd. Er worden nu geen onversleutelde wachtwoorden meer verstuurd, alleen nog maar links om het wachtwoord te resetten.

-----

Nederlandse vertaling loopt altijd achter. Voor het meest recente nieuws, zie het oorspronkelijke topic
Nowadays a VPN is a must for everyone. A VPN allows you safe surfing and protects you against spying governments and companies.
I advise AirVPN - from € 2,75 per month. Click the below banner for more info.


Image

User avatar
Mazrim Taim
Posts: 122
Joined: Tue Mar 31, 2015 10:04 am

Re: We zijn GEHACKT - wijzig wachtwoord!

Wed Jan 19, 2022 11:06 am

Nederlandse vertaling van de oorspronkelijke post:

Beste OpenSubtitles users,

Wat is er gebeurd

We hebben slecht nieuws... We zijn gehackt.

(...)
Da's niet zo mooi, meneer Van Looij. :cry:




Ik mag hopen dat de betreffende SuperAdmin nu gedegradeerd is tot SuperSukkel. Dit soort zaken kan namelijk in sommige gevallen voor sommige mensen heel nare gevolgen hebben.

Gelukkig ben ik zelf iemand die altijd voor elke situatie een ander wachtwoord kiest. En dan ook nog eens een zodanig moeilijk wachtwoord dat ik het absoluut niet kan onthouden. Derhalve liggen al mijn wachtwoorden en inlognamen opgeslagen in een goed beveiligd en afgeschermd Word-bestand, dat ik indien nodig kan raadplegen.

Alleen voor 'lage risico sites' (waaronder ik ook OpenSubtitles had gerekend) gebruik ik in Opera een wachtwoordbeheerder, zodat ik niet telkens de gegevens hoef op te zoeken in voornoemd Word-bestand.
Voor mij persoonlijk zijn de uitgelekte wachtwoorden daarom een 'minor inconvenience'. Behalve op Opensubtitles kunnen criminelen er niets mee omdat ze niet elders in gebruik zijn. Maar of dat voor iedereen geldt? Laten we het hopen...

Ik ga zo meteen je advies opvolgen en de wachtwoorden aanpassen.
Maar uit je bericht begrijp ik dat ook email-adressen op straat hebben gelegen. Hopelijk gaat dat niet teveel extra spam of ongewenste registraties opleveren. :cry:
Hoe dan ook is dit natuurlijk voor iedereen zeer vervelend en zeer ongelegen. In elk geval bedankt voor de waarschuwing en de uitleg.



En over waarschuwingen gesproken... bij de site opensubtitles.org geeft Opera aan dat deze beveiligd is. In die zin dat gegevensverkeer naar de site privé is. Maar bij het forum? Daar is dat een ander verhaal. Wellicht zinvol om dat bij de bevoegde personen aan te kaarten.

Image

Image
Image

User avatar
SmallBrother
Site Admin
Posts: 3724
Joined: Sun Mar 04, 2012 12:59 pm
Location: Somewhere on this globe

Re: We zijn GEHACKT - wijzig wachtwoord!

Wed Jan 19, 2022 1:58 pm

Je hebt helemaal gelijk dat dit allemaal behoorlijk foute boel is. Ik ben het ook niet eens met een aantal dingen, maar OpenSubtitles is niet van mij, ik ben ook maar een vrijwilligertje... Merk op dat bovenstaand bericht niet door mij is geschreven, slechts vertaald for your convenience.
Voor mij persoonlijk zijn de uitgelekte wachtwoorden daarom een 'minor inconvenience'. Behalve op Opensubtitles kunnen criminelen er niets mee omdat ze niet elders in gebruik zijn. Maar of dat voor iedereen geldt? Laten we het hopen...
 
Ik hoop het ook, maar ik vrees van niet. "Security" is namelijk omgekeerd evenredig met "gemak" en het overgrote merendeel van de mensen kiest liever voor gemak, ook nog in 2022. Dat betekent bijvoorbeeld username "harry1992" en wachtwoord "abc123" en dat ook nog allemaal hetzelfde voor email, facebook, paypal en bol.com. De meeste mensen weten niet wat een wachtwoord sterk maakt. Integendeel, men denkt vaak dat iets als bijvoorbeeld 3#F4Rt sterk is, terwijl dat helemaal niet zo is. Men denkt "dat overkomt mij niet". Men denkt dat een VPN alleen voor criminelen is. Men vindt gratis WiFi in de coffeeshop wel een goed idee. Etc.
Maar uit je bericht begrijp ik dat ook email-adressen op straat hebben gelegen. Hopelijk gaat dat niet teveel extra spam of ongewenste registraties opleveren. :cry:
 
Om eerlijk te zijn, weet ik niet wat er precies is gelekt c.q. daadwerkelijk verspreid. Maar de hack betreft "de database table met usergegevens", waaronder het emailadres, dus ga er maar van uit dat dat bij de verkeerden terechtkomt.
En over waarschuwingen gesproken... bij de site opensubtitles.org geeft Opera aan dat deze beveiligd is. In die zin dat gegevensverkeer naar de site privé is. Maar bij het forum? Daar is dat een ander verhaal. Wellicht zinvol om dat bij de bevoegde personen aan te kaarten.
 
In mijn browser staat forum.opensubtitles.org te boek als HTTPS encrypted met een valide certificaat. Zou jij in jouw Opera willen kijken wat de details zijn van die waarschuwing? Ik vermoed een onbekende uitgevende instantie van het certificaat, maar dat kan ik vanaf hier niet zien. En om welke Opera gaat het hier (versie, OS), dan geef ik dat allemaal door.
Nowadays a VPN is a must for everyone. A VPN allows you safe surfing and protects you against spying governments and companies.
I advise AirVPN - from € 2,75 per month. Click the below banner for more info.


Image

User avatar
Mazrim Taim
Posts: 122
Joined: Tue Mar 31, 2015 10:04 am

Re: We zijn GEHACKT - wijzig wachtwoord!

Wed Jan 19, 2022 5:07 pm

(...)
En over waarschuwingen gesproken... bij de site opensubtitles.org geeft Opera aan dat deze beveiligd is. In die zin dat gegevensverkeer naar de site privé is. Maar bij het forum? Daar is dat een ander verhaal. Wellicht zinvol om dat bij de bevoegde personen aan te kaarten.
 
In mijn browser staat forum.opensubtitles.org te boek als HTTPS encrypted met een valide certificaat. Zou jij in jouw Opera willen kijken wat de details zijn van die waarschuwing? Ik vermoed een onbekende uitgevende instantie van het certificaat, maar dat kan ik vanaf hier niet zien. En om welke Opera gaat het hier (versie, OS), dan geef ik dat allemaal door.

Probleem opgelost. Mijn fout... :oops:


forum.opensubtitles.org staat namelijk al heel lang bij mijn bladwijzers. Ik heb er dan ook al jaren niets aan veranderd.
Ik vond het merkwaardig dat ik de laatste tijd eerst die melding kreeg over een 'niet veilige verbinding', maar nadat ik dan klik op 'continue to site' bleek alles ineens wel in orde te zijn.

Het heeft even geduurd voordat het kwartje gevallen is, maar kennelijk is voornoemde bladwijzer aangemaakt in een tijd dat forum.opensubtitles.org nog http was in plaats van https. Ken gebeure... :roll:

Dus de oude bladwijzer in de prullenbak gezwiept en een nieuwe aangemaakt. Alles in orde nu. Ik zie nu een certificaat dat geldig is tot 5-6-2022.



Aangaande het wachtwoorden veranderen heb ik nog wel een catch22-situatie bij een tweede account dat al een tijdje in de 'parkeerstand' stond. Maar daar is dit topic niet voor, dus ik stuur vandaag nog wel een PB daarover.
Image

User avatar
SmallBrother
Site Admin
Posts: 3724
Joined: Sun Mar 04, 2012 12:59 pm
Location: Somewhere on this globe

Re: We zijn GEHACKT - wijzig wachtwoord!

Wed Jan 19, 2022 5:23 pm

In mijn browser staat forum.opensubtitles.org te boek als HTTPS encrypted met een valide certificaat. Zou jij in jouw Opera willen kijken wat de details zijn van die waarschuwing? Ik vermoed een onbekende uitgevende instantie van het certificaat, maar dat kan ik vanaf hier niet zien. En om welke Opera gaat het hier (versie, OS), dan geef ik dat allemaal door.
Probleem opgelost. Mijn fout... :oops:

Niet helemaal ;-) Want als *ik* een website maak, dan zorg ik in ieder geval voor een rewrite van http naar https, zodat dit soort dingen niet kunnen voorkomen. Maar ja, opensubtitles is ook maar een mens :mrgreen: Dus ik zal toch iets doorgeven. Maar ik heb zo'n vermoeden dat dat op dit moment niet bovenaan het prioriteitenlijstje staat. My god, wat een takkechaos...
Aangaande het wachtwoorden veranderen heb ik nog wel een catch22-situatie bij een tweede account dat al een tijdje in de 'parkeerstand' stond. Maar daar is dit topic niet voor, dus ik stuur vandaag nog wel een PB daarover.
Probeer het a.u.b. eerst zelf op te lossen(!) Als het echt niet lukt, dan kan ik de boel wel resetten, maar dat is een beetje geklooi en wil ik alleen per PM doen - guess what, om security redenen :?
Nowadays a VPN is a must for everyone. A VPN allows you safe surfing and protects you against spying governments and companies.
I advise AirVPN - from € 2,75 per month. Click the below banner for more info.


Image

Return to “Nederlands”

Who is online

Users browsing this forum: No registered users and 32 guests