Die Berichte kamen nur wenige Tage nach dem Start von Disney +: Tausende der Streaming-Service-Accounts standen bereits in verschiedenen Hacking-Foren zum Verkauf, zu Schnäppchenpreisen. Ab Mittwoch gingen immer noch neue Opfer zu Twitter und anderen Orten, um ihre Enttäuschung darüber auszudrücken, dass ihre Konten übernommen worden waren. Was mit ziemlicher Sicherheit passiert, ist kein Hack, wie Sie es sich normalerweise vorstellen würden. Stattdessen scheint es sich um einen klassischen - und bedauerlichen - Fall zu handeln, der als "Credential Stuffing" bezeichnet wird.
Wie ZDNet zum ersten Mal berichtete, konnten gefährdete Disney + -Konten im Internet für bis zu 11 US-Dollar pro Pop oder so gut wie kostenlos gefunden werden. (Disney + selbst kostet 7 US-Dollar pro Monat oder weniger für einen Jahresplan.)
Disney lehnt jeden Vorschlag ab, dass seine Systeme gehackt wurden. "Wir haben keine Hinweise auf eine Sicherheitsverletzung gefunden", heißt es in einer Erklärung des Unternehmens. "Wir überprüfen kontinuierlich unsere Sicherheitssysteme und sperren proaktiv das zugehörige Benutzerkonto und weisen den Benutzer an, ein neues Kennwort auszuwählen, wenn wir einen verdächtigen Anmeldeversuch feststellen."
Megacorporations beim Wort zu nehmen, insbesondere in Bezug auf Cybersicherheitsfragen, ist selten ratsam, aber in diesem Fall müssen Sie das nicht, da die einfachere Erklärung mit ziemlicher Sicherheit die richtige ist.
"Es klingt sicherlich nach einer Fülle von Anmeldeinformationen", sagt Troy Hunt, Gründer der Website "Have I Been Pwned", einer Sammlung von Milliarden von Konten, die im Laufe der Jahre bei verschiedenen Sicherheitsverletzungen durchgesickert sind. "Dieser Vorfall hat alle Merkmale dessen, was wir immer und immer wieder gesehen haben."
Was ist das Zeugnis-Zeugnis?
Von Lily Hay Newman
Bei einer Technik, die so viele Kopfschmerzen verursacht - Dunkin 'Donuts, Nest und OkCupid sind allesamt die jüngsten Opfer -, ist das Ausfüllen von Anmeldeinformationen relativ unkompliziert. Sie nehmen einfach eine Reihe von Benutzernamen und Passwörtern, die bei früheren Verstößen durchgesickert sind, werfen sie auf einen bestimmten Dienst und sehen, welche stecken. Online sind Tools zum Füllen von Anmeldeinformationen verfügbar, die nicht nur den Prozess automatisieren, sondern auch die Anmeldeanforderungen als legitim erscheinen lassen. Sie werden als Trickel von mehreren IP-Adressen gesendet und nicht von einem verdächtigen, zentral gelegenen Tsunami. Und weil die Leute Passwörter so häufig wiederverwenden, ist es nicht schwer, eine signifikante Anzahl von Übereinstimmungen zu erhalten. (Stellen Sie sich vor, Sie haben den gleichen Schlüssel für Ihr Haus, Ihr Auto, Ihr Büro und Ihr Fitnessstudio verwendet. Sobald ein Räuber eine Kopie anfertigt, kann er überall einbrechen.)
Hacker haben mit Sicherheit keinen Mangel an Material, aus dem sie ziehen können. Suchen Sie nicht weiter als bis zur jüngsten Entdeckung der so genannten Sammlungen Nr. 1-5, bei der 2, 2 Milliarden Benutzernamen und zugehörige Kennwörter in Hackerforen frei verfügbar waren. Allein die erste Charge hatte 773 Millionen Datensätze. Es war praktisch ein Verstoß gegen Verstöße, ein Kompendium von Daten aus umfangreichen Hacks wie denen von LinkedIn, Myspace und Yahoo.
Es geht nicht darum, dass Hacker diese Daten speziell verwendeten. Es ist so, dass viele Ihrer Benutzernamen und Kennwörter inzwischen kompromittiert wurden. Wenn Sie sie wiederverwenden, bereiten Sie sich auf Kopfschmerzen vor. Auch wenn einige Benutzer von Disney + behaupten, ein eindeutiges Kennwort verwendet zu haben, haben sie es möglicherweise einfach vergessen. „Meiner Erfahrung nach ist dies bei einigen Tests selten der Fall, wenn die Benutzer die Sicherheit ihrer Passwörter bekannt gegeben haben“, sagt Hunt. "Also würde ich diese Behauptungen mit einem Körnchen Salz nehmen."
Dies entschuldigt Disney nicht ganz. Das Unternehmen verknüpft die Konten für die verschiedenen Dienste miteinander. Wenn Sie also Disney + verlieren, verlieren Sie auch den Zugriff auf Disney World Resorts, Disney Vacation Club, ESPN usw. Das erweitert unnötigerweise Ihr potenzielles Risiko. Das Unternehmen könnte den zusätzlichen Schritt der Zwei-Faktor-Authentifizierung unternehmen, auch wenn andere Streaming-Dienste wie Netflix dies derzeit nicht anbieten. In ähnlicher Weise könnte Disney in erster Linie mehr Hindernisse für den Prozess des Stopfens von Anmeldeinformationen aufwerfen.
"Die meisten schlechten Schauspieler verwenden Skripte, um Angriffe zum Verschleiern von Anmeldeinformationen auszuführen", sagt Ronnie Tokazowski, leitender Bedrohungsforscher bei der E-Mail-Sicherheitsfirma Agari. "Wenn Sie etwas Einfaches wie Captcha hinzufügen, können Sie die Anmeldeversuche böswilliger Akteure verlangsamen oder abschwächen."
