Open Subtitles es “hackeada”, pagan el rescate y el atacante filtra los datos de 7 millones de usuarios

Open Subtitles, popular web para la descarga de subtítulos de películas y series, sufrió el pasado verano una brecha de seguridad que permitió al atacante hacerse con los datos, incluyendo contraseñas, de casi 7 millones de usuarios registrados en el servicio. El atacante exigió un rescate por una cantidad no revelada a cambio de ayudarles a arreglar el agujero de seguridad y eliminar la información robada. Sin embargo, no ha cumplido su palabra y la información fue filtrada en Internet el pasado viernes.

Han sido los propios administradores de Open Subtitles los que han explicado la situación a los usuarios en el foro de la web. En una publicación realizada ayer bajo el título “Hemos sido HACKEADOS”, relatan que el atacante consiguió hacerse con una contraseña de baja seguridad correspondiente a un SuperAdmin(administrador con todos los privilegios para operar en la web) de Open Subtitles.  Una vez dentro, pudo acceder a un “script” (un tipo de programa de “software”) no seguro accesible solo para un usuario con la categoría de SuperAdmin. A través del “script” pudo realizar una inyección SQL (método para insertar código que altera el funcionamiento normal de un “software”) en la base de datos y extraer la información.

Los datos robados corresponden a 6.783.158 usuarios registrados e incluyen correos electrónicos, contraseñas, nombres de usuario, direcciones IP y la ubicación, aunque no contenían información de pago que se almacena de forma separada.  No se trata de la totalidad de usuarios de la web, pero sí de la mayoría.

Open Subtitles fue creada en 2006 y, según señala la publicación, “poco sabíamos de seguridad” entonces.  Desde entonces las contraseñas se han almacenado encriptadas en “hashes” md5() (método de cifrado actualmente considerado poco seguro) “sin sal” (expresión que se refiere a añadir una cadena de caracteres aleatoria para mejorar la seguridad del encriptado). En consecuencia, las contraseñas fuertes (diez caracteres al menos, con mayúsculas y minúsculas, números y símbolos) seguían seguras pero las débiles, la gran mayoría, podían extraerse fácilmente y es lo que sucedió.

Los administradores recomiendan a todos los usuarios modificar sus contraseñas en Open Subtitles y en otras webs y servicios donde usen la misma que ha terminado filtrada en Internet. Los responsables de la web han comunicado el suceso a la web Have I Been Pwned, especializada en recopilar información sobre brechas de seguridad y dónde se puede consultar si un correo electrónico está afectado por una brecha de seguridad. Have I Been Pwned ya ha incorporado la información a sus bases de datos.

Open Subtitles explica que ha mejorado la seguridad del sitio a raíz del suceso. Así, las contraseñas ya no se almacenan con el antiguo método hash md5() sino que emplea los más seguros hash_hmac y sha256, introducido “captchas” para ingresar credenciales de sesión y una nueva política de contraseñas entre otras medidas. Obviamente, recomiendan no acceder a las pretensiones de los cibercriminales en caso de ser víctimas y se disculpa con sus usuarios por su falta de precisión en los aspectos relacionados con la seguridad de la web.