Regisztrált az OpenSubtitles oldalán? Azonnal változtassa meg a jelszavát!

 

A filmfeliratok letöltésére szolgáló, nagy népszerűségnek örvendő OpenSubtitles weboldalát zsarolóvírus támadás érte, és annak ellenére, hogy az oldal üzemeltetői kifizették a váltságdíjat, a támadók nyilvánosságra hozták az ellopott adatokat, így közel 7 millió regisztrált felhasználó e-mail címe, IP címe és jelszava szivárgott ki.

Ugyan a jelszavak (legalább) nem szabadon olvasható formában kerültek tárolásra, hanem egy MD5 algoritmussal képzett értékként (például az “alma” karaketrsorozat MD5 értéke: ebbc3c26a34b609dc46f5c3378f96e08), azonban ez az algoritmus több szempontból sem biztonságos, például egy nagyon fontos biztonsági elem, az ún. „sózás” (salting) hiányzik belőle.

A sózás során leegyszerűsítve az történik, hogy a jelszavak kapnak egy plusz egyedi karaktersorozatot, mielőtt egy választott egyirányú (azaz nem visszafejthető) algoritmussal lenyomatot (hash) képeznek belőlük. Miért van erre szükség? Azért mert enélkül a lépés nélkül két ugyanolyan jelszóból két ugyanolyan érték képződne, így nagy számítási kapacitással, vagy a  gyakori jelszavakat tartalmazó, ún. „szivárvány táblák” segítségével feltörhetőek, kitalálhatóak lennének.

Az OpenSubtitles üzemeltetői azt ígérik, hogy a készülő új weboldalon több biztonsági intézkedést alkalmaznak majd.

Az NBSZ NKI  javaslata szerint az érintett weboldal felhasználói mielőbb cseréljék jelszavukat minden olyan szolgáltatás esetében, amelynél ugyanezt a jelszót használják!

(securityweek.com)