CIKI: Máris meghackelték a Disney+ előfizetőket

A ZDnet osztotta meg az észrevételét, miszerint orosz fórumokon alig pár órával a Disney+ rajtja után, már $3 és $11 közötti áron hozzá lehet jutni előfizetői fiókokhoz.

A Disney+ streaming szolgáltatása november 12-én indult el, és már aznap elérhetők voltak feltört fiókokat tartalmazó állományok a fórumokon, melyek nevet, email címet, és plaintext jelszavakat tartalmaznak.

A több millió előfizetőből néhány ezer fiók adatai kerültek fel az Internetre, de ez így is elég nagy szám, és elég sokmindent elárul a védelemről, hogy a jelszavak sima szövegként vannak fent a fórumokon, tehát valahogy visszafejthető volt (akár brute force-szal, akár szótáras támadással) a fiókhoz tartozó jelszó.

A főprobléma az lehet, hogy sokan ugyanazt a jelszót használják mindenhol, így akár korábba adatszivárgásból is származhatnak adatok. A hackerek egyszerűen csak végigpróbálták a korábban már megszerzett adatokkal a Disney+ bejelentkezést.

A másik fő probléma, hogy sok fióknál nincs beállítva kétfaktoros azonosítás, így az áldozat nem is értesülhetett a bejelentkezési próbálkozásról.

Viszont a Disney-t is terheli felelősség, hiszen kérhetett volna erősebb jelszót, illetve kötelezhette volna a felhasználókat a kétfaktoros hitelesítés bekapcsolására.