Η streaming υπηρεσία Disney+ είναι διαθέσιμη εδώ και λίγες μόνο μέρες, έχει ήδη όμως τραβήξει την προσοχή και αυτό δεν οφείλεται αποκλειστικά στα προγράμματά της και την μεγάλη ανταπόκριση του κοινού. Όπως αναφέραμε κάποιες μέρες πριν, κάποιοι hackers παραβίασαν τους λογαριασμούς Disney+ των χρηστών και τώρα πουλούν τα credentials σε underground hacking forums.
Η εταιρεία δήλωσε χθες ότι δεν βρέθηκε κανένα στοιχείο παραβίασης συστημάτων και ότι οι λογαριασμοί που εκτέθηκαν ανήκουν σε ένα πολύ μικρό αριθμό χρηστών της Disney+.
Η υπηρεσία Disney+ κατόρθωσε να φτάσει τους 10 εκατομμύρια συνδρομητές από την πρώτη ημέρα κυκλοφορίας.
Οι hackers εκμεταλλεύτηκαν τη δημοτικότητα της υπηρεσίας και στόχευσαν τους χρήστες της. Σύμφωνα με τους ερευνητές, τα credentials των χρηστών πωλούνται σε hacking forums από 3 έως 11 δολάρια. Στο μεταξύ, η συνδρομή κοστίζει 7 δολάρια το μήνα ή 70 δολάρια το χρόνο.
Η Disney ισχυρίζεται ότι η παραβίαση είχε να κάνει με συγκεκριμένους χρήστες, που δεν παίρνουν μέτρα ασφαλείας. Πολλοί χρήστες χρησιμοποιούν τον ίδιο κωδικό πρόσβασης σε πολλαπλές υπηρεσίες. Αυτό σημαίνει ότι η παραβίαση ενός λογαριασμού επιτρέπει στους hackers να αποκτήσουν πρόσβαση και σε άλλους λογαριασμούς των χρηστών. Η Disney πιστεύει ότι αυτό συνέβη και στην συγκεκριμένη περίπτωση.
Ωστόσο, είναι εύκολο να αποφευχθούν τέτοιες καταστάσεις με τη χρήση μοναδικών και ισχυρών κωδικών πρόσβασης. Αυτή είναι η συμβουλή που δίνουν όλοι οι ειδικοί ασφαλείας, όπως και ο Troy Hunt, Αυστραλιανός ερευνητής, που έχει δημιουργήσει το site “Have I Been Pwned?”. Αυτό το site ειδοποιεί τους ανθρώπους, όταν παραβιάζονται τα δεδομένα τους.
Ωστόσο, ο Hunt δήλωσε ότι και η Disney, από τη μεριά της, θα μπορούσε να εφαρμόσει κάποια καλύτερα μέτρα ασφαλείας.
“Η κατάσταση της Disney φαίνεται να είναι μια ακόμα περίπτωση credential stuffing επίθεσης, όπου οι hackers εκμεταλλεύονται την επαναχρησιμοποίηση των κωδικών πρόσβασης σε συνδυασμό με τις μη επαρκείς άμυνες, που έχει θέσει ο πάροχος υπηρεσιών”, ανέφερε ο Hunt.
Ο Paul Rohmeyer, καθηγητής στο Stevens Institute of Technology στο Hoboken, New Jersey, δήλωσε ότι τον εκπλήσσει το ότι οι streaming υπηρεσίες δεν εφαρμόζουν αποτελεσματικά μέτρα ασφαλείας, όπως τον έλεγχο ταυτότητας πολλαπλών παραγόντων.
Με αυτή τη μέθοδο, όταν οι χρήστες προσπαθούν να συνδεθούν στο λογαριασμό τους από μια νέα συσκευή, τους έρχεται σε μήνυμα ή email ένας κωδικός, τον οποίον πρέπει να χρησιμοποιήσουν για να αποκτήσουν πρόσβαση. Έτσι, αν κάποιος hacker έχει κλέψει τα credentials ενός χρήστη δεν μπορεί να συνεχίσει τη διαδικασία γιατί δεν έχει αυτόν τον κωδικό.
Ο ερευνητής πιστεύει ότι οι υπηρεσίες ίσως διστάζουν να εφαρμόσουν αυστηρότερα μέτρα ασφαλείας, επειδή φοβούνται ότι θα θεωρηθούν «πιο ενοχλητικές» σε σχέση με τους ανταγωνιστές.
Ωστόσο, η ασφάλεια είναι πιο σημαντική και θα έπρεπε να απασχολεί όλες τις υπηρεσίες. Η Disney+ δεν έχει εφαρμόσει τον έλεγχο ταυτότητας πολλαπλών παραγόντων, ώστε να έρχεται ένας μοναδικός κωδικός, κάθε φορά που γίνεται σύνδεση από μια νέα συσκευή.
Φυσικά, την μεγαλύτερη ευθύνη την έχουν οι ίδιο οι χρήστες που δεν προστατεύουν επαρκώς τους λογαριασμούς τους και χρησιμοποιούν τους ίδιους κωδικούς πρόσβασης. Ωστόσο, και οι υπηρεσίες θα πρέπει να λαμβάνουν μέτρα ασφαλείας για να περιορίσουν τις πιθανότητες παραβίασης.
