Disney +: Vi hackades inte, du anvÀnder förmodligen ett gammalt lösenord

Disney +: Vi hackades inte, du anvÀnder förmodligen ett gammalt lösenord

Tiago Almeida var bland de miljoner anvÀndare som registrerade sig för Disney +. Han förvÀntade sig bara aldrig att dela sitt konto med en massa frilastande frÀmlingar.

Under de senaste tvĂ„ dagarna har Disney fyllt sin e-postinkorg med meddelanden som signalerar att obehöriga anvĂ€ndare har försökt fĂ„ tillgĂ„ng till hans konto. “Efter midnatt fick jag 30 meddelanden”, sa han.

Almeida kan tacka hackare. De har lagt upp giltiga inloggningsuppgifter för Disney + -konton och erbjuder dem bÄde till försÀljning och gratis. Nyheten, som först rapporterades av ZDNet, lyfter fram den skuggiga vÀrlden av lösenordssprickning. Nej, Disney + drabbades inte av en massiv dataintrÄng. Inloggningsuppgifterna var inte heller nödvÀndigtvis stulna. IstÀllet innebÀr problemen en kardinal synd inför IT-sÀkerhet: lösenordsanvÀndning.

Det var vad som hÀnde med Almeida; hans Disney + -lösenord var inte unikt. Han anvÀnder den pÄ andra onlinekonton, vilket var hur hackarna gissade hans giltiga inloggningsuppgifter.

“Ja, det Ă€r mitt lösenord”, sa han efter att vi hittat hans inloggningsuppgifter i en av Disney + -dumparna. “Jag kommer att behöva Ă€ndra det.”

Disney Hack

Det Àr ingen överraskning att Disney + drabbades av kontokapningarna. I flera Är har hackare pÄ skumma forum och mörka webbmarknader sÄlt giltiga inloggningsuppgifter för andra streamingtjÀnster som Netflix, Hulu och HBO, ofta för bara nÄgra dollar per konto.

I allmÀnhet erhÄlls kontona tack vare att mÀnniskor ÄteranvÀnder gamla lösenord för andra internettjÀnster, enligt Andrei Barysevich, VD för sÀkerhetsföretaget Gemini Advisory. Och eftersom webbplatser stÀndigt bryts, kan hackare fÄ tillgÄng till hela serien av e-postadresser och lösenordskombinationer och sedan prova dem pÄ en tjÀnst som Disney +.

“Om nĂ„gon har en ny databas med e-postadresser och lösenord för en miljon anvĂ€ndare, kanske bara 1 procent kommer att fungera, men det Ă€r fortfarande 10 000 anvĂ€ndare som berörs”, sa han.

Hackarna kan testa vilka inloggningar som fungerar med hjĂ€lp av programvarubaserade hackingsverktyg, till exempel Sentry MBA, som kan automatisera lösenordsinmatningsprocessen. “Du kan klicka pĂ„ en startknapp och nĂ€sta morgon har du 100 eller 1000 giltiga konton”, tillade Barysevich.

Det hjĂ€lper ocksĂ„ att streamingtjĂ€nsterna kan vara mjuka nĂ€r det gĂ€ller lösenordsdelning. Som ett resultat kan hackare komma undan med att sĂ€lja giltiga referenser, ofta utan att kontoinnehavaren ens vet. “Det Ă€r inte sĂ„ skadligt,” sa han. “Ingen kan anvĂ€nda ett Hulu-konto för att köpa en $ 2000 bĂ€rbar dator pĂ„ Amazon.”

“Men brottslingarna vet nu att den specifika kombinationen av e-postadress och lösenord fungerar”, tillade Barysevich. “SĂ„ de kunde utnyttja det igen för att rikta in sig pĂ„ kĂ€nsligare onlinekonton, som i en bank.”

NÀr det gÀller Almeida registrerade han sig ursprungligen för Disney + för eget personligt bruk. Men pÄ tisdag berÀttade han för PCMag att han mÀrkte att frÀmlingar skapade ytterligare tre anvÀndarprofiler pÄ sitt konto.

Almeida Disney

Även om Almeida har Ă€ndrat sitt lösenord fĂ„r han fortfarande meddelanden frĂ„n Disney om de obehöriga Ă„tkomstförsöken. Specifikt avser mejlen frĂ„n Disney en sĂ€kerhetsĂ„tgĂ€rd som företaget har genomfört för att stoppa kapningarna. Det krĂ€ver att anvĂ€ndaren först skriver in en engĂ„ngskod som levereras till kontoinnehavarens e-postinkorg för att fĂ„ full tillgĂ„ng till Disney +.

De upprepade aviseringarna och nyheterna om kontokapningarna Ă€r anledningen till att Almeida beslutade att avbryta sitt konto hos streamingtjĂ€nsten. “Jag tror att jag kommer (prova Disney + igen), men de mĂ„ste ta reda pĂ„ vad som hĂ€nder”, sa han. “Jag gillar det verkligen, men hacking grejer. De mĂ„ste ta reda pĂ„ hur man fixar det.”

Almeida Àr inte den enda anvÀndaren som har fÄtt aviseringarna. PCMag pratade med ett annat offer för kontokapningen som ocksÄ hade hennes e-postadress och lösenord i en Disney + -kontodump.

“Det Ă€r mitt lösenord och e-postmeddelande och jag hĂ„ller med om att jag tror att jag har blivit hackad”, sa anvĂ€ndaren. “Jag fĂ„r alltid e-postmeddelanden som innehĂ„ller ett engĂ„ngskod som jag inte begĂ€r. Jag har faktiskt avbrutit mitt konto för tre dagar sedan, men jag fĂ„r fortfarande e-postmeddelanden sĂ„ sent som kl.

Samma anvÀndare sa att hennes Disney + -lösenord inte anvÀndes nÄgon annanstans. ZDNet hittade ocksÄ fall dÀr anvÀndare sa att deras Disney + -lösenord var unika. Detta kan innebÀra att hackarna ocksÄ fÄr lösenorden pÄ andra sÀtt, till exempel skadlig programvara för keylogging.

NÄgra av de giltiga inloggningsuppgifterna Àr ocksÄ fritt tillgÀngliga pÄ den öppna webben via inlÀgg som hackare har gjort i forum. Enligt Barysevich görs detta sÄ att hackaren kan bygga upp ett rykte i hopp om att sÀlja andra lösenordsdumpar i framtiden.

Även om kontokapningarna kan lĂ„ta oroande, för perspektiv, kan du faktiskt hitta fler inloggningsuppgifter för Netflix, Hulu och HBO som sĂ€ljs av hackare Ă€n över Disney +, tillade Barysevich. “Vi tittar bara pĂ„ fem eller sex dĂ„liga skĂ„despelare som riktar sig mot Disney mot 200”, tillade han. Men det kan förĂ€ndras med tiden eftersom Disneys streamingtjĂ€nst blir mer populĂ€r och rullar till fler lĂ€nder.

I ett uttalande pÄ onsdagen skyllde Disney ocksÄ kontokapningen pÄ hackare som bryter tidigare dataintrÄng för giltiga inloggningsuppgifter.

“Vi har inte hittat nĂ„gra bevis för ett sĂ€kerhetsbrott [at Disney+]. Miljarder anvĂ€ndarnamn och lösenord som lĂ€ckt ut frĂ„n tidigare intrĂ„ng hos andra företag, före datering av lanseringen av Disney +, sĂ€ljs pĂ„ webben, sĂ€ger företaget.

“Vi granskar kontinuerligt vĂ„ra sĂ€kerhetssystem och nĂ€r vi hittar ett misstĂ€nkt inloggningsförsök lĂ„ser vi proaktivt det associerade anvĂ€ndarkontot och uppmanar anvĂ€ndaren att vĂ€lja ett nytt lösenord. Vi har sett en mycket liten andel anvĂ€ndare i denna situation och uppmuntrar alla anvĂ€ndare som Ă€r att ha sĂ„dana problem att nĂ„ ut till vĂ„r kundsupport sĂ„ att vi kan hjĂ€lpa dem, “tillade Disney.