A ZDnet osztotta meg az észrevételét, miszerint orosz fórumokon alig pár órával a Disney+ rajtja után, már $3 és $11 közötti áron hozzá lehet jutni előfizetői fiókokhoz.
A Disney+ streaming szolgáltatása november 12-én indult el, és már aznap elérhetők voltak feltört fiókokat tartalmazó állományok a fórumokon. Ezek neveket, email címeket, és plaintext jelszavakat tartalmaznak.
A több millió előfizetőből néhány ezer fiók adatai kerültek fel az Internetre, de ez így is elég nagy szám. Elég sokmindent elárul a védelemről, hogy a jelszavak sima szövegként vannak fent a fórumokon. Tehát valahogy visszafejthető volt (akár brute force-szal, akár szótáras támadással) a fiókhoz tartozó jelszó.
A főprobléma az lehet, hogy sokan ugyanazt a jelszót használják mindenhol, így akár korábba adatszivárgásból is származhatnak adatok. A hackerek egyszerűen csak végigpróbálták a korábban már megszerzett adatokkal a Disney+ bejelentkezést.
A másik fő probléma, hogy sok fióknál nincs beállítva kétfaktoros azonosítás, így az áldozat nem is értesülhetett a bejelentkezési próbálkozásról.
Viszont a Disney-t is terheli felelősség, hiszen kérhetett volna erősebb jelszót, illetve kötelezhette volna a felhasználókat a kétfaktoros hitelesítés bekapcsolására.