Хиляди Дисни+ акаунти са били „хакнати“ и са за продажба онлайн. Престъпниците продават данни за вход за компрометирани акаунти от между $3 и $11. Ето как вероятно се е случило и как можете да защитите акаунта си в Disney+.
Съдържание
Как се хакват акаунти в Disney+?
Дисни каза Разнообразие вижда се „няма доказателства за пробив в сигурността“ на сървърите си и че само „малък процент“ от над 10 милиона потребители са компрометирани и изтекли данни за вход.
Но ако сървърите на Disney не са били компрометирани, как има хиляди хакнати акаунти?
Още веднъж изглежда, че виновникът е повторното използване на парола. Ако използвате повторно една и съща парола на няколко уебсайта, данните за вход вероятно вече са изтекли от друг сайт. Сега всичко, което „хакерът“ трябва да направи, е да вземе тези вече компрометирани данни за вход и да ги изпробва на други уебсайтове.
Например, да кажем, че влизате с „[email protected]” и паролата „SuperSecurePassword” навсякъде. Много уебсайтове бяха нарушени през последните няколко години, така че „[email protected] / SuperSecurePassword” вероятно е в една или повече бази данни с изтекли идентификационни данни. Когато Disney+ стартира, се регистрирате с обичайния си имейл адрес и парола. Хакерите опитват изтекли потребителски имена и пароли в Disney+ и други услуги и получават достъп.
Не знаем със сигурност дали по този начин са били компрометирани тези акаунти, но по принцип акаунтите са компрометирани. Друг възможен виновник може да бъде злонамерен софтуер за регистриране на ключове, който работи във фонов режим на компютрите на хората и улавя техните идентификационни данни. Във всеки случай, тези проблеми със сигурността на крайния потребител са най-вероятната причина, а не пробив в сървърите на Disney.
Повторното използване на парола е сериозен проблем онлайн. А Анкета на Google/Harris Poll от по-рано през 2019 г. установи, че 52% от хората използват една и съща парола за множество акаунти, а 13% използват отново една и съща парола навсякъде. Само 35% от анкетираните казват, че използват уникални пароли навсякъде.
Как да защитите акаунта си в Disney+
Използвайте уникална парола за вашия акаунт в Disney+ — и за всичките си други акаунти онлайн. Трудно е (вероятно невъзможно!) да запомните толкова много силни, уникални пароли. Ето защо препоръчваме да използвате мениджър на пароли. Запомняте една силна главна парола, за да отключите своя защитен хранилище с пароли. Вашият мениджър на пароли автоматично създава силни пароли за вашите онлайн акаунти и ги попълва вместо вас.
Променете вашите слаби, повторно използвани пароли на силни, уникални. Оставете мениджър на пароли да свърши работата и да спестите вашата умствена енергия.
Тук не натискаме конкретен мениджър на пароли. Ние харесваме 1Парола и LastPass. Dashlane има приятен интерфейс. Bitwarden и KeePass са с отворен код. Вашият уеб браузър дори има вграден мениджър на пароли – въпреки че препоръчваме да не използвате тези вградени мениджъри на пароли, те са по-добри от нищо.
Можете да проверите дали паролата ви се е появила при известни нарушения на данните с услуга като Бил ли съм измамен? Мениджърите на пароли като 1Password и LastPass също ще проверяват дали някоя парола, която използвате, е била нарушена. Все пак нямайте фалшиво чувство за сигурност: Дори ако вашата парола не се появи в тази база данни, тя все още може да е била нарушена.
Прилагат се и обичайните съвети за онлайн сигурност: Уверете се, че използвате антизловреден софтуер на вашия компютър с Windows, поддържайте софтуера си актуален и активирайте двуфакторно удостоверяване за чувствителни акаунти като вашия имейл. Тази защита в две стъпки ще ви помогне да защитите, дори ако някой улови вашето потребителско име и парола.
Disney търси подозрителни входове
Дисни също разказа Разнообразие че „когато открием опит за подозрително влизане, ние проактивно заключваме свързания потребителски акаунт и насочваме потребителя да избере нова парола.“ Ако Disney е на върха на нещата, тези компрометирани данни за акаунт в Disney+ може да не са добра стойност за престъпниците – дори само за $3.
Ако сте заключен, Disney казва, че трябва свържете се с неговата служба за обслужване на клиенти.
Какво трябва да направи Disney, за да защити своите потребители
Въпреки че Disney+ вероятно няма вина за тези нарушения, определено Disney може да направи повече. Disney може да предложи удостоверяване в две стъпки, като гарантира, че трябва да предоставите допълнителен код – вероятно такъв, изпратен на телефона ви или генериран от приложение – преди да влезете.
Разбира се, това ще защити хората, които използват повторно пароли навсякъде, но тези хора вероятно няма да го активират. Удостоверяването в две стъпки е чудесна опция, която искаме да виждаме навсякъде, но не е решение за всеки.
Освен това Disney може автоматично да търси изтекли комбинации от потребителско име и парола и проактивно да информира потребителите на DIsney+, като ги моли да променят своите потребителски имена и пароли. Netflix е правил това в миналото.
В крайна сметка обаче Disney+ не е сам тук. Престъпниците продават и идентификационни данни за акаунти в Netflix в тъмната мрежа. Лошите практики за сигурност на паролата са риск за много различни онлайн акаунти. Ето защо технологичната индустрия продължава да говори за убиване на пароли.
Отново Disney+ е *НЕ* хакнат. Нямаше нарушение на данните на Disney+.
Ако се притеснявате, регистрирайте се за мениджър на пароли (напр @LastPass или @1Парола), генерирайте нова (случайна) парола и *СМЕНЕТЕ* вашата парола.
Също така отидете на https://t.co/wKe1GnPdqV и проверете сметките си.
— Джъстин Дуино? (@jaduino) 19 ноември 2019 г