La piattaforma streaming della Disney ha appena terminato la sua prima settimana di vita, ma sono già comparsi dei problemi legati alla sicurezza offerta dal servizio.
Disney+ ha avuto un lancio turbolento a causa di problemi tecnici che hanno limitato la visione dei contenuti a molti utenti, ma tra i vari commenti c’era anche qualcuno che lamentava l’impossibilità di accedere al proprio profilo.
La problematica è legata ad alcuni hacker che sono riusciti a violare gli account di migliaia di utenti, e stanno rivendendo online le credenziali di accesso.
Sul dark web si è creato un vero e proprio mercato per la compravendita di questi profili rubati, che possono essere acquistati per un prezzo che può variare dai 3 agli 11 dollari su alcuni forum specializzati.
Si tratta di un costo decisamente elevato se si pensa che l’abbonamento costa solamente 7 euro ed è disponibile una settimana di prova gratuita.
Secondo alcune indiscrezioni, gli hacker avrebbero ottenuto accesso agli account attraverso un attacco “brute force”, cioè un metodo che punta a sperimentare e testare tutte le possibili password associate ad un nome utente, fino a trovare quella corretta.
Questo genere di attacchi sono molto difficili da bloccare, perché si basano sulla violazione dei profili che utilizzano delle password comuni, oppure con combinazioni poco complesse.
La società non ha ancora rilasciato dichiarazioni, ma sembra proprio che Disney stia affrontando la stessa sorte già toccata a Netflix, Hulu e Prime Video.
Le forze dell’ordine stanno già prendendo dei provvedimenti contro i siti di streaming illegale, che in queste ore stanno mettendo a disposizione i link per guardare le serie in esclusiva Disney.
Ogni anno vengono rubati milioni di profili provenienti dalle più disparate piattaforme di streaming ed ancora oggi non si conosce un metodo efficace per proteggere gli utenti senza creare qualche tipo di disagio.
Per il momento è solo possibile attuare dei programmi di prevenzione, che prevedono l’aggiornamento periodico della password e l’utilizzo di caratteri speciali per diminuire le possibilità di violazione.
Aggiornamento 20/11/2019
In relazione a quanto detto precedentemente, ci è sembrato utile condividere con voi quanto dichiarato da John Shier, senior secyrity advisor di Sophos, un’azienda con sede in Inghilterra che si occupa proprio di sicurezza informatica. Si tratta di un’analisi sulle possibili cause legate al fenomeno che ha coinvolto Disney+ con un piccolo “recap” di quelle che sono le regole sempreverdi in merito alla sicurezza dei propri account.
“A poche settimane dal lancio, la piattaforma streaming della Disney è già coinvolta in alcuni problemi legati alla sicurezza offerta dal servizio.
Molti utenti Disney+ hanno segnalato di non riuscire più ad accedere al proprio account. Sebbene Disney+ dichiari di non aver subito alcun attacco informatico, la nostra esperienza ci suggerisce all’origine del problema potrebbe esserci un attacco di tipo credential stuffing, che sfrutta il fatto che le persone usino le stesse credenziali per accedere a più applicazioni, siti e servizi, oppure una campagna phishing contro gli utenti Disney+ o ancora un malware in grado di rubare le credenziali dai device degli utenti.
Nel caso degli attacchi credential stuffing, i cybercriminali sfruttano credenziali sottratte da un sito, che spesso sono già disponibili sul dark web, e le utilizzano per accedere ad altri servizi online. Questo tipo di attacco non fa che evidenziare ancora una volta i rischi che si corrono usando una sola mail per accedere a diverse piattaforme e siti. Come ben sappiamo, i criminali informatici sono pigri…proprio come noi e se riusciranno a cavarsela utilizzando password già compromesse, non perderanno di certo la ghiotta occasione.
L’attesa febbrile del lancio di Disney+ e il lancio finora limitato solo ad alcuni paesi (Stati Uniti e Canada, mentre l’Europa dovrà attendere fino al 31 marzo 2020) hanno portato gli utenti più impazienti a cercare nuovi modi per accedere al servizio, anche a costo di usare le credenziali di qualcun’altro. Ciò naturalmente rappresenta un’opportunità imperdibile per lanciare una campagna phishing volta a colpire il più alto numero di vittime possibile monetizzando al massimo.
Inoltre, attraverso la diffusione di malware in grado di sottrarre password, gli hacker potrebbero aver individuato, tra i dati raccolti, anche le credenziali di accesso a Disney+ e averle messe in vendita approfittando del grande clamore suscitato dal lancio della piattaforma.
Al momento purtroppo Disney+ non mette a disposizione un’autenticazione a due fattori, che potrebbe bloccare questo genere di attacco.
Qualunque sia l’origine del problema in cui si sono imbattuti gli utenti di Disney+ restano valide le regole auree da mettere in atto ogni giorno per muoversi online in tutta sicurezza:
· Non riutilizzare vecchie password, perché qualora fossero state sottratte in passato, i cybercriminali potrebbero “riciclarle” per nuovi attacchi
· Fornire online il minor numero possibile di informazioni personali
· Tutti i servizi online dovrebbero offrire un’autenticazione a due fattori per garantire che le password siano davvero protette e non siano l’unico baluardo di difesa”
