Site de legendas tem vazamento de dados de 6,7 milhões de usuários

O OpenSubtitles, um dos maiores serviços online de download de legendas para filmes e séries, viu os dados de mais de 6,7 milhões de usuários vazando na internet. A exposição é resultado de um ataque cibernético registrado em agosto de 2021, mas não revelado ao público até agora; a empresa pagou o resgate pedido, mas as informações foram publicadas mesmo assim.

• Influenciadores têm contas roubadas em FIFA 22
• Roubo de contas no Instagram: usuários pagam serviços para recuperar perfis

O conjunto contém informações como e-mails, senhas, nomes de usuários, endereços IP usados no acesso ao site e geolocalização coletada durante o uso. De acordo com as informações oficiais, as credenciais estavam armazenadas em formado MD5, considerado inseguro, principalmente para os inscritos que utilizaram palavras-chave simples, com poucos caracteres ou palavras reconhecidas.

Agora, o pedido é para que todos os utilizadores modifiquem suas senhas, algo que será mandatório para todos que acessarem a plataforma com suas contas logadas daqui em diante. No comunicado oficial, o serviço pediu desculpas pela falta de segurança e explicou que o serviço foi criado em 2006 com pouco conhecimento desse tipo de aspecto, o que torna a ideia de que ele foi atingido apenas tantos anos depois “meio impressionante”.

15 anos depois, a plataforma figura na lista dos cinco mil sites mais acessados de toda a internet, recebendo acessos de todo o mundo para download e disponibilização de legendas em todos os idiomas. Cadastros não são necessários para baixar as traduções, mas quem quiser hospedar seus trabalhos, acessar fóruns ou ter acesso a recursos específicos tem de fazer isso.

De acordo com o comunicado oficial, o contato com os responsáveis pelo golpe aconteceu em agosto de 2021, por meio de mensagem no Telegram. Não houve ataque de ransomware, mas sim, uma intrusão nos sistemas de administração do OpenSubtitles a partir de scripts inseguros usados pelo serviço, em um golpe de injeção de SQL; amostras do volume foram apresentadas como prova, enquanto um valor alto em Bitcoin foi pedido.

Os administradores da plataforma aceitaram, sob a promessa de que as informações não seriam expostas, mas sim, deletadas pelos criminosos. Além disso, os responsáveis ajudaram a resolver o problema, o que fez com que todo o caso fosse mantido em sigilo até agora, quando o banco de dados foi disponibilizado publicamente e expôs as credenciais de todos os usuários do serviço.

Como proceder no caso de vazamentos

Em resposta ao incidente, que considerou uma “lição dura”, o OpenSubtitles recebeu uma série de atualizações de segurança, como controles para logins malsucedidos, criptografia melhorada no armazenamento de senhas e novas políticas relacionadas a credenciais, assim como captchas e demais protocolos. Os administradores também pediram desculpas aos usuários.

A principal recomendação, dada inclusive pelos próprios responsáveis, é quanto ao uso de senhas únicas e exclusivas para cada serviço, de forma que o vazamento de uma não comprometa outras contas. O ideal é optar por palavras-chave aleatórias e apostar em um gerenciador, esse sim, com uma senha inteligível, mas igualmente segura, com letras, símbolos e números, que dá acesso a todas as outras.

Além disso, aos usuários atingidos, é importante checar se outros serviços não compartilham a mesma senha — estas também devem ser trocadas. Vale a pena, ainda, usar serviços como o Have I Been Pwned, que alerta por e-mail sempre que as credenciais pessoais surgirem em algum volume vazado na internet.

Fonte: OpenSubtitles