Beste OpenSubtitles users,
Wat is er gebeurd
We hebben slecht nieuws... We zijn gehackt.
In august 2021 ontvingen we een bericht op Telegram van een hacker, die bewijs liet zien dat hij toegang kon krijgen tot de database table met gebruikersinfo en een SQL-dump daarvan had gedownload.
Hij heeft om een losgeld in Bitcoin gevraagd om dit niet publiekelijk te maken en hij heeft beloofd om de gegevens te vernietigen.
Het was moeilijk om hiermee akkoord te gaan, want het was niet bepaald een klein bedrag. Hij heeft uitgelegd hoe hij teogang kon krijgen en heeft ons geholpen om het lek te dichten. Technisch gesproken, hij kon een zwak wachtwoord van een SuperAdmin kraken en zo toegang krijgen tot een onbeveiligd script dat alleen toegankelijk was voor SuperAdmins. Via dit script kon hij de database injecteren en de gegevens bemachtigen.
Hij heeft toegang gekregen tot alle gebruikersgegevens: email, gebruikersnaam, wachtwoord, etc.. Hij heeft beloofd dat deze gegevens gewist zouden worden en dat hij ons zou helpen de site te beveiligen, nadat we hadden betaald.
De site is gemaakt in 2006, met weinig kennis van beveiliging, waardoor wachtwoorden werden opgeslagen in MD5-hashes zonder 'zout'
Dit betekent dat het veilig genoeg zou zijn als je sterke wachtwoorden zou gebruiken (laten we zeggen tenminste tien tekens bestaande uit een kleine letter, hoofdletter, cijfer en speciale tekens). Maar korte en gemakkelijke wachtwoorden, zeker als deze in het Engelse woordenboek voorkomen, zouden gemakkelijk genoeg kunnen worden gekraakt.De meeste gebruikers hadden echter geen sterke wachtwoorden, waardoor de hacker toegang tot die gebruikersaccounts kon krijgen en ondertitels downloaden, etc.. Hij heeft geen toegang gekregen tot gegevens van creditscards en dergelijke, deze zijn opgeslagen buiten ons platform.
Wat je nu zou moeten doen
- Wijzig je wachtwoorden voor opensubtitles.org, opensubtitles.com en het forum (dit wordt gevraagd).
- Als je je wachtwoord voor opensubtitles.org ook voor iets anders gebruikt, wijzig dat dan ook. Dit is vooral belangrijk bij email-accounts en bij diensten die financiële of persoonlijke gegevens bevatten.
Wat wij hadden moeten doen
Dit is een harde les voor ons. Het is ongelooflijk dat de site nu is gehackt, 15 jaar later. De hacker zal er veel tjd en moeite aan moeten hebben besteed. Allereerst, als een site wordt gehackt, zou er minimaal met de hacker moeten zijn. De beloftes van de hacker betekenen in de realiteit helemaal niets, zoals we dit nu zelf hebben ondervonden. We hadden meer energie moeten steken in de beveiliging van de site en de oude MD5-zonder-salt wachtwoorden lang geleden eruit moeten gooien.
Wat wij al hebben gedaan
De site zou nu veiliger moeten zijn. We hebben de manier verbeterd waarop gebruikers contact met de site maken, de accounts worden na inloggen vastgezet, er is een nieuw wachtwoordbeleid, sessie-info staat niet meer in de database, IP-adressen zouden niet meer gefaket kunnen worden, captchas voor inloggen en registreren, resetten van wachtwoorden, CSRF bij formulieren, het blokkeren van serverrequests als een admins IP-adres wijzigt tijdens de sessie, wachtwoorden worden opgeslagen m.b.v. hash_hmac en het SHA-256 algoritme met 'zout' en 'peper', alle MD5-wachtwoorden zijn verwijderd.
Merk hierbij op dat de nieuwe site opensubtitles.com is gebouwd op sterkere veiligheidsnormen. Alle voornoemde veiligheidsaspecten zijn daarin al ingebouwd.
Laatste woorden
Accepteer onze nederige verontschuldigingen. Zoals je kunt zien, kan een hack op elk moment gebeuren en dan is er maar weinig wat je kunt doen. Zelfs het betalen van losgeld is geen garantie voor je veiligheid.
Gebruik niet hetzelfde wachtwoord voor meerdere websites, dat is de grootste fout die je kunt maken.
Als je je wachtwoord nog niet hebt gewijzigd, doe dat dan alsjeblieft nu meteen en gebruik een ander wachtwoord dan voorheen:
Wijzig wachtwoord voor www.opensubtitles.org
(Zorg ervoor dat je je huidige opensubtitles.org emailadres gebruikt. Je ontvangt dan een email met daarin een bevestigingslink waarop je moet klikken. Vervolgens kun je het tijdelijke wachtwoord gebruiken dat in diezelfde email staat vermeld.)
Wijzig wachtwoord voor www.opensubtitles.com
Wijzig wachtwoord voor forum.opensubtitles.org
Als je nog geen wachtwoordmanager gebruikt, dan is dit misschien wel een goed moment om dat te overwegen. Deze helpen bij het gebruiken van lange en complexe wachtwoorden, melden veiligheidsproblemen, het beheren van 2FA, en het geeft toegang tot al je wachtwoorden, waarbij je alleen maar één master-wachtwoord hoeft te onthouden, of je kunt het linken aan bijvoorbeeld een vingerafdruk.
Lijst met de beste wachtwoordmanagers
We zijn in contact met Troy Hunt. Als je hun service van HaveIbeenPwned nog niet gebruikt, dan is nu het goede moment.
We worden lid van HackTrophy om soortgelijke hacks in de toekomst te voorkomen. Het is beter om met white-hack hackers te dealen.
Deze post zal met de tijd worden geüpdate met belangrijke informatie.
-----
UPDATE 19 januari 2022
- Als je je wachtwoord wijzigt op bovengenoemde manier, wacht dan op de betreffende email. Verstuur NIET nogmaals een verzoek om wijziging, dit kan problemen veroorzaken. We gebruiken namelijk één bevestigingslink per gebruiker, dus een tweede verzoek om te wijzigen, geeft een foutmelding. Verzoek dus slechts één keer om een wachtwoordwijziging, wacht op de email en controleer ook de spam folder.
- Als je het wwachtwoord wilt wijzigen en het systeem meldt "email not found" ("email niet gevonden"), registreer je dan simpelweg helemaal opnieuw. We hebben de codering van de database gewijzigd, waarbij er duplicaten waren en enkele accounts zijn verdwenen.
- De OpenSubtitles Uploader werkt niet meer. We hebben contact opgenomen met de developer en gevraagd om de uploader te updaten, meer kunnen we niet doen dan daarop wachten.
- Als het echt niet lukt om het wachtwoord te wijzigen (het is mogelijk dat onze email wordt geblokkeerd), dan kun je contact met ons opnemen.
- De hack is gebeurd in augustus 2021, maar de gegevens zijn afgelopen vrijdag gelekt.
- Het is natuurlijk geen excuus, maar er zijn steeds meer hackers en ze worden steeds creatiever en hebberiger, en ze zijn net zo actief bij grote als bij kleine partijen. Als bedrijven zoals Microsoft, Facebook, Twitter, Nintendo en Zoom worden gehackt, welke kans hebben wij als klein team dat wij niet worden aangevallen?
-----
UPDATE 20 januari 2022
- Sommige API-programma's gebruiken MD5-wachtwoorden om te communiceren met de API. Voor meer info, zie viewtopic.php?f=11&p=46892#p46892
- Het beantwoorden van honderden emails.
- We werken aan een beter systeem om de wachtwoorden te resetten, zoals aangegeven in posts van users.
- OpenSubtitles.org is een END OF LIFE project - we gaan zo spoedig mogelijk volledig over op www.opensubtitles.com maar dit kan nog een jaar duren.
-----
UPDATE 21 januari 2022
Zoals een gebruiker in de oorspronkelijke Engelstalige thread heeft aangegeven, is het per email versturen van onversleutelde wachtwoorden geen goed idee. We hebben het systeem om wachtwoorden te resetten veranderd. Er worden nu geen onversleutelde wachtwoorden meer verstuurd, alleen nog maar links om het wachtwoord te resetten.
-----
Nederlandse vertaling loopt altijd achter. Voor het meest recente nieuws, zie het oorspronkelijke topic
Want als *ik* een website maak, dan zorg ik in ieder geval voor een rewrite van http naar https, zodat dit soort dingen niet kunnen voorkomen. Maar ja, opensubtitles is ook maar een mens 
Dus ik zal toch iets doorgeven. Maar ik heb zo'n vermoeden dat dat op dit moment niet bovenaan het prioriteitenlijstje staat. My god, wat een takkechaos...