Katalogu filmových a seriálových titulků OpenSubtitles.org unikla kompletní uživatelská databáze. Pokud jste se tedy do služby také přihlašovali a stejné heslo používáte i na ostatních webech, je čas na velký úklid. Útok se týká zhruba 6,7 milionů uživatelů.
Správci katalogu zveřejnili detaily přímo ve svém fóru a není to zrovna lichotivé čtení – byť do jisté míry pochopitelné. Útočník je po Telegramu poprvé kontaktoval už loni v srpnu. Překonal slabé heslo administrátora a dostal se k nezajištěnému skriptu, pomocí kterého si nechal vypsat obsah celé databáze. Poté požádal o výkupné v BTC.
V létě nám vykradli celou databázi, přiznává se ve fóru správce OpenSubtitles.org
Web samozřejmě odmítl, opravil některé chyby, nicméně je s podivem, že celý průšvih zveřejnil až nyní po mnoha měsících s tím, že si mají všichni uživatelé změnit hesla.
Omlouváme se, kód OpenSubtitles.org je prostě strašný
Správci se omlouvají s tím, že web pochází z roku 2006, kdy byly standardy zabezpečení ještě relativně nízké. Bohužel s nimi nic neudělali, a tak třeba celou dobu používali pro hešování hesel v databázi dávno překonaný algoritmus md5 a bez soli – kryptografického šumu.
Hešování nahradí původní text hesla v databázi zdánlivě náhodným sledem znaků, který ale matematicky vždy odpovídá původnímu heslu, takže při ověřování hesla se neporovnává jeho skutečná podoba, kterou správce webu ideálně vůbec nezná, ale jen tyto dva heše.
Naivní postup zpětného dekódování zahešovaných hesel. Pro zvýšení výkonu se používají předpočítané duhové tabulky a další techniky
Problém spočívá v tom, že u slabších hešovacích algoritmů včetně md5 lze z heše při současném výkonu počítačů a kvůli chybám v designu znovu spočítat původní heslo. Právě proto se k heslu přidává ještě ona sůl – další textové znaky –, které to mají případnému útočníkovi ještě více znesnadnit.
The site was created in 2006 with little knowledge of security, so passwords were stored in md5() hashes without salt 
It means, if you used strong password (lets say at least 10 characters with lowercase, uppercase, number and special characters) you should be safe, but short easy passwords, specially if they are in the english dictionary can rather easily be extracted from these data.
Správce OpenSubtitles.org
Pokud k tomu ale připočítáme skutečnost, že zejména v počátcích používali návštěvníci webu poměrně jednoduchá a krátká hesla, reverzní výpočet bude snadný, uznávají správci webu.
