Disney +: non siamo stati hackerati, probabilmente stai usando una vecchia password

Tiago Almeida è stato tra i milioni di utenti che si sono iscritti a Disney +.

Non si sarebbe mai aspettato di condividere il suo account con un gruppo di estranei freeloading.

Negli ultimi due giorni, Disney ha riempito la sua casella di posta elettronica con notifiche che segnalano che utenti non autorizzati hanno tentato di accedere al suo account.

"Dopo mezzanotte, ho ricevuto circa 30 notifiche", ha detto.

Almeida può ringraziare gli hacker. Hanno pubblicato credenziali di accesso valide per gli account Disney +, offrendole sia in vendita che gratuitamente.

La notizia, che è stata segnalata per la prima volta da ZDNet, evidenzia l'oscuro mondo del cracking delle password.

No, Disney + non ha subito una massiccia violazione dei dati.

Né le credenziali di accesso sono state necessariamente rubate.

Invece, i problemi comportano un peccato cardinale per la sicurezza informatica: il riutilizzo delle password.

Questo è quello che è successo ad Almeida; la sua password Disney + non era univoca.

Lo usa su altri account online, così gli hacker hanno indovinato le sue credenziali di accesso valide.

"Sì, è la mia password", ha detto dopo aver trovato la sua credenziale di accesso in uno dei dump di dati Disney +.

"Avrò bisogno di cambiarlo."

Non sorprende che Disney + sia stata colpita dai dirottamenti dell'account.

Da anni ormai, gli hacker su forum ombrosi e mercati del dark web vendono credenziali di accesso valide per altri servizi di streaming come Netflix, Hulu e HBO, spesso per pochi dollari per account.

In generale, gli account vengono ottenuti grazie alle persone che riutilizzano le vecchie password per altri servizi Internet, secondo Andrei Barysevich, CEO della società di sicurezza Gemini Advisory.

E poiché i siti Web vengono costantemente violati, gli hacker possono accedere a intere risorse di combinazioni di indirizzi e-mail e password e quindi provarli su un servizio come Disney +.

"Se qualcuno ha un nuovo database di indirizzi e-mail e password per un milione di utenti, forse solo l'1% funzionerà, ma sono ancora 10.000 gli utenti interessati", ha detto.

Gli hacker possono verificare quali accessi funzionano utilizzando strumenti di hacking basati su software, come Sentry MBA, che possono automatizzare il processo di immissione della password.

"Puoi fare clic su un pulsante di avvio e il mattino successivo avrai 100 o 1.000 account validi", ha aggiunto Barysevich.

Aiuta anche il fatto che i servizi di streaming possano essere indulgenti quando si tratta di condividere la password.

Di conseguenza, gli hacker possono cavarsela con la vendita di credenziali valide, spesso senza che il titolare dell'account lo sappia.

"Non è così dannoso", ha detto.

"Nessuno può utilizzare un account Hulu per acquistare un laptop da $ 2.000 su Amazon".

"Ma i criminali ora sanno che la combinazione specifica di indirizzo e-mail e password funziona", ha aggiunto Barysevich.

"Così potrebbero sfruttarlo di nuovo per indirizzare gli account online più sensibili, come in una banca".

Per quanto riguarda Almeida, inizialmente si era iscritto a Disney + per uso personale.

Ma martedì ha detto a Daxdi di aver notato che estranei creavano tre profili utente aggiuntivi sul suo account.

Sebbene Almeida abbia cambiato la sua password, continua a ricevere notifiche da Disney sui tentativi di accesso non autorizzati.

Nello specifico, le e-mail di Disney si riferiscono a una misura di sicurezza che l'azienda ha implementato per fermare i dirottamenti.

Richiede all'utente di digitare prima un passcode monouso consegnato alla casella di posta in arrivo del titolare dell'account per ottenere l'accesso completo a Disney +.

Le ripetute notifiche e notizie sui dirottamenti dell'account è il motivo per cui Almeida ha deciso di cancellare il suo account con il servizio di streaming.

"Penso che (proverò di nuovo Disney +), ma hanno bisogno di capire cosa sta succedendo", ha detto.

"Mi piace molto, ma la roba dell'hacking.

Devono capire come risolverlo."

Almeida non è l'unico utente che ha ricevuto le notifiche.

Daxdi ha parlato con un'altra vittima del dirottamento dell'account che aveva anche il suo indirizzo e-mail e la password in un dump dell'account Disney +.

"Questa è la mia password e la mia email e sono d'accordo che penso di essere stato violato", ha detto l'utente.

"Continuo a ricevere e-mail contenenti un passcode monouso che non sto richiedendo.

Ho effettivamente cancellato il mio account tre giorni fa, ma ricevo ancora e-mail fino alle 14:30 di oggi."

Lo stesso utente ha detto che la sua password Disney + non è stata utilizzata da nessun'altra parte.

ZDNet ha anche riscontrato casi di utenti che affermavano che le loro password Disney + erano uniche.

Ciò potrebbe significare che gli hacker stanno ottenendo le password anche in altri modi, come il malware di keylogging.

Alcune delle credenziali di accesso valide sono anche disponibili gratuitamente sul Web aperto tramite i messaggi che gli hacker hanno pubblicato nei forum.

Secondo Barysevich, questo viene fatto in modo che l'hacker possa costruirsi una reputazione nella speranza di vendere altri dump di password in futuro.

Sebbene il dirottamento dell'account possa sembrare preoccupante, per prospettiva, puoi effettivamente trovare più credenziali di accesso per Netflix, Hulu e HBO venduti dagli hacker rispetto a Disney +, ha aggiunto Barysevich.

"Stiamo guardando solo cinque o sei cattivi attori che prendono di mira la Disney contro 200", ha aggiunto.

Ma ciò potrebbe cambiare nel tempo man mano che il servizio di streaming della Disney diventa più popolare e arriva in più paesi.

In una dichiarazione di mercoledì, la Disney ha anche incolpato i dirottamenti degli account sugli hacker che hanno estratto le violazioni dei dati del passato per ottenere credenziali di accesso valide.

"Non abbiamo trovato prove di una violazione della sicurezza [at Disney+].

Miliardi di nomi utente e password trapelati da precedenti violazioni di altre società, precedenti al lancio di Disney +, vengono venduti sul web ", ha affermato la società.

"Controlliamo continuamente i nostri sistemi di sicurezza e quando troviamo un tentativo di accesso sospetto blocciamo in modo proattivo l'account utente associato e indirizziamo l'utente a selezionare una nuova password.

Abbiamo visto una percentuale molto piccola di utenti in questa situazione e incoraggiamo tutti avere questo tipo di problemi per contattare il nostro supporto clienti in modo che possiamo aiutarli ", ha aggiunto Disney.

Nota dell'editore: Questa storia è stata aggiornata con un nuovo commento della Disney.

Tiago Almeida è stato tra i milioni di utenti che si sono iscritti a Disney +.

Non si sarebbe mai aspettato di condividere il suo account con un gruppo di estranei freeloading.

Negli ultimi due giorni, Disney ha riempito la sua casella di posta elettronica con notifiche che segnalano che utenti non autorizzati hanno tentato di accedere al suo account.

"Dopo mezzanotte, ho ricevuto circa 30 notifiche", ha detto.

Almeida può ringraziare gli hacker. Hanno pubblicato credenziali di accesso valide per gli account Disney +, offrendole sia in vendita che gratuitamente.

La notizia, che è stata segnalata per la prima volta da ZDNet, evidenzia l'oscuro mondo del cracking delle password.

No, Disney + non ha subito una massiccia violazione dei dati.

Né le credenziali di accesso sono state necessariamente rubate.

Invece, i problemi comportano un peccato cardinale per la sicurezza informatica: il riutilizzo delle password.

Questo è quello che è successo ad Almeida; la sua password Disney + non era univoca.

Lo usa su altri account online, così gli hacker hanno indovinato le sue credenziali di accesso valide.

"Sì, è la mia password", ha detto dopo aver trovato la sua credenziale di accesso in uno dei dump di dati Disney +.

"Avrò bisogno di cambiarlo."

Non sorprende che Disney + sia stata colpita dai dirottamenti dell'account.

Da anni ormai, gli hacker su forum ombrosi e mercati del dark web vendono credenziali di accesso valide per altri servizi di streaming come Netflix, Hulu e HBO, spesso per pochi dollari per account.

In generale, gli account vengono ottenuti grazie alle persone che riutilizzano le vecchie password per altri servizi Internet, secondo Andrei Barysevich, CEO della società di sicurezza Gemini Advisory.

E poiché i siti Web vengono costantemente violati, gli hacker possono accedere a intere risorse di combinazioni di indirizzi e-mail e password e quindi provarli su un servizio come Disney +.

"Se qualcuno ha un nuovo database di indirizzi e-mail e password per un milione di utenti, forse solo l'1% funzionerà, ma sono ancora 10.000 gli utenti interessati", ha detto.

Gli hacker possono verificare quali accessi funzionano utilizzando strumenti di hacking basati su software, come Sentry MBA, che possono automatizzare il processo di immissione della password.

"Puoi fare clic su un pulsante di avvio e il mattino successivo avrai 100 o 1.000 account validi", ha aggiunto Barysevich.

Aiuta anche il fatto che i servizi di streaming possano essere indulgenti quando si tratta di condividere la password.

Di conseguenza, gli hacker possono cavarsela con la vendita di credenziali valide, spesso senza che il titolare dell'account lo sappia.

"Non è così dannoso", ha detto.

"Nessuno può utilizzare un account Hulu per acquistare un laptop da $ 2.000 su Amazon".

"Ma i criminali ora sanno che la combinazione specifica di indirizzo e-mail e password funziona", ha aggiunto Barysevich.

"Così potrebbero sfruttarlo di nuovo per indirizzare gli account online più sensibili, come in una banca".

Per quanto riguarda Almeida, inizialmente si era iscritto a Disney + per uso personale.

Ma martedì ha detto a Daxdi di aver notato che estranei creavano tre profili utente aggiuntivi sul suo account.

Sebbene Almeida abbia cambiato la sua password, continua a ricevere notifiche da Disney sui tentativi di accesso non autorizzati.

Nello specifico, le e-mail di Disney si riferiscono a una misura di sicurezza che l'azienda ha implementato per fermare i dirottamenti.

Richiede all'utente di digitare prima un passcode monouso consegnato alla casella di posta in arrivo del titolare dell'account per ottenere l'accesso completo a Disney +.

Le ripetute notifiche e notizie sui dirottamenti dell'account è il motivo per cui Almeida ha deciso di cancellare il suo account con il servizio di streaming.

"Penso che (proverò di nuovo Disney +), ma hanno bisogno di capire cosa sta succedendo", ha detto.

"Mi piace molto, ma la roba dell'hacking.

Devono capire come risolverlo."

Almeida non è l'unico utente che ha ricevuto le notifiche.

Daxdi ha parlato con un'altra vittima del dirottamento dell'account che aveva anche il suo indirizzo e-mail e la password in un dump dell'account Disney +.

"Questa è la mia password e la mia email e sono d'accordo che penso di essere stato violato", ha detto l'utente.

"Continuo a ricevere e-mail contenenti un passcode monouso che non sto richiedendo.

Ho effettivamente cancellato il mio account tre giorni fa, ma ricevo ancora e-mail fino alle 14:30 di oggi."

Lo stesso utente ha detto che la sua password Disney + non è stata utilizzata da nessun'altra parte.

ZDNet ha anche riscontrato casi di utenti che affermavano che le loro password Disney + erano uniche.

Ciò potrebbe significare che gli hacker stanno ottenendo le password anche in altri modi, come il malware di keylogging.

Alcune delle credenziali di accesso valide sono anche disponibili gratuitamente sul Web aperto tramite i messaggi che gli hacker hanno pubblicato nei forum.

Secondo Barysevich, questo viene fatto in modo che l'hacker possa costruirsi una reputazione nella speranza di vendere altri dump di password in futuro.

Sebbene il dirottamento dell'account possa sembrare preoccupante, per prospettiva, puoi effettivamente trovare più credenziali di accesso per Netflix, Hulu e HBO venduti dagli hacker rispetto a Disney +, ha aggiunto Barysevich.

"Stiamo guardando solo cinque o sei cattivi attori che prendono di mira la Disney contro 200", ha aggiunto.

Ma ciò potrebbe cambiare nel tempo man mano che il servizio di streaming della Disney diventa più popolare e arriva in più paesi.

In una dichiarazione di mercoledì, la Disney ha anche incolpato i dirottamenti degli account sugli hacker che hanno estratto le violazioni dei dati del passato per ottenere credenziali di accesso valide.

"Non abbiamo trovato prove di una violazione della sicurezza [at Disney+].

Miliardi di nomi utente e password trapelati da precedenti violazioni di altre società, precedenti al lancio di Disney +, vengono venduti sul web ", ha affermato la società.

"Controlliamo continuamente i nostri sistemi di sicurezza e quando troviamo un tentativo di accesso sospetto blocciamo in modo proattivo l'account utente associato e indirizziamo l'utente a selezionare una nuova password.

Abbiamo visto una percentuale molto piccola di utenti in questa situazione e incoraggiamo tutti avere questo tipo di problemi per contattare il nostro supporto clienti in modo che possiamo aiutarli ", ha aggiunto Disney.

Nota dell'editore: Questa storia è stata aggiornata con un nuovo commento della Disney.