Tisíce uživatelských kont Disney+ se staly obětí neoprávněného vniknutí a jejich přístupová data se objevila v online prodeji. Pachatelé nabízí kompromitované údaje za ceny od 3 do 11 dolarů. Pojďme si rozebrat, jak k takovému narušení pravděpodobně došlo a jak efektivně ochránit váš vlastní účet na Disney+.
Jak dochází k neoprávněnému přístupu k účtům Disney+?
Společnost Disney pro Variety sdělila, že jejich servery nebyly cílem žádného „prokázaného narušení bezpečnosti“ a že přístupové údaje byly ohroženy pouze u „malého procenta“ z více než 10 milionů uživatelů.
Pokud tedy servery Disney nebyly kompromitovány, jak je možné, že se tisíce účtů dostaly do rukou hackerů?
Zdá se, že hlavním viníkem je opětovné použití stejných hesel. Pokud používáte identické heslo na několika webových stránkách, vaše přihlašovací údaje mohly již dříve uniknout z jiného zdroje. V takovém případě útočník jednoduše vezme již kompromitované údaje a zkouší je na různých online platformách.
Například, pokud se přihlašujete e-mailem „[email protected]“ a všude používáte heslo „SuperSecureHeslo“, je pravděpodobné, že vaše přihlašovací údaje jsou uloženy v databázích úniků dat. Po spuštění Disney+ se registrujete se stejnou e-mailovou adresou a heslem. Hackeři následně zkouší uniklé kombinace uživatelských jmen a hesel na Disney+ i dalších službách, a tak neoprávněně získávají přístup k vašemu účtu.
Nemůžeme s naprostou jistotou tvrdit, že právě tímto způsobem byly účty kompromitovány. Existuje i možnost, že uživatelé mají v počítači malware zaznamenávající stisknuté klávesy, který shromažďuje jejich přihlašovací údaje. Bez ohledu na konkrétní metodu, je nejpravděpodobnější příčinou těchto problémů s bezpečností chování samotných uživatelů, a nikoli chyba na straně serverů Disney.
Opakované používání hesel představuje v online světě vážný problém. Průzkum Google / Harris Poll z počátku roku 2019 ukázal, že 52 % lidí používá stejné heslo pro více online služeb a 13 % ho dokonce používá všude. Pouze 35 % respondentů používá pro každý účet unikátní heslo.
Jak chránit svůj účet na Disney+
Pro svůj účet na Disney+ – i pro všechny ostatní online účty – používejte unikátní heslo. Je velmi obtížné, ne-li nemožné, zapamatovat si tolik silných, jedinečných hesel. Proto je doporučeno používat správce hesel. Správce hesel si pamatuje pouze jedno hlavní heslo, kterým odemknete zabezpečený trezor s ostatními hesly. Správce hesel automaticky vytváří složitá hesla a vyplňuje je za vás.
Nahraďte svá slabá a opakovaně používaná hesla silnými a jedinečnými. Ponechte tuto práci na správci hesel a ušetřete svou energii.
Nechceme doporučovat konkrétní správce hesel. Oblíbené jsou například 1Password a LastPass. Dashlane má přívětivé uživatelské rozhraní. Bitwarden a KeepPass jsou open source. Váš internetový prohlížeč také obvykle nabízí správce hesel, i když jejich používání se nedoporučuje. I tak je ale lepší mít správce hesel v prohlížeči než nemít žádného.
Můžete ověřit, zda vaše heslo nebylo zveřejněno při nějakém úniku dat pomocí služby jako je například Byl jsem Pwned? Správci hesel, jako je 1Password a LastPass, automaticky kontrolují, zda nebyla některá z vašich hesel ohrožena. Mějte však na paměti, že i pokud se vaše heslo v těchto databázích neobjeví, stále mohlo být kompromitováno.
Platí také běžná online bezpečnostní opatření: V počítačích se systémem Windows používejte antimalwarový software, udržujte software aktualizovaný a pro citlivé účty, jako je e-mail, aktivujte dvoufázové ověření. Toto dodatečné zabezpečení vás chrání i v případě, že se někdo dostane k vašemu uživatelskému jménu a heslu.
Disney proaktivně vyhledává podezřelá přihlášení
Společnost Disney pro Variety uvedla, že „pokud detekují podezřelé přihlášení, automaticky uzamknou uživatelský účet a vyzvou uživatele k nastavení nového hesla.“ V případě, že Disney proaktivně pracuje na zabezpečení účtů, nemusí být zkompromitovaná přístupová data pro útočníky žádná výhra – a to ani za 3 dolary.
Pokud byl váš účet uzamčen, doporučuje Disney kontaktovat zákaznický servis.
Co by měl Disney udělat pro ochranu uživatelů
Ačkoli Disney+ pravděpodobně nemůže za toto narušení, mohlo by pro ochranu uživatelů udělat mnohem víc. Mohlo by zavést dvoufázové ověření, které by vyžadovalo zadání dodatečného kódu před přihlášením – kód odeslaný na telefon nebo vygenerovaný aplikací.
Určitě by to ochránilo ty, kteří používají stejné heslo všude, ale je dost pravděpodobné, že by takoví uživatelé toto ověření nevyužili. Dvoufázové ověření je sice skvělá možnost, kterou bychom rádi viděli všude, ale není pro každého.
Disney by mohl také automaticky vyhledávat uniklé kombinace uživatelských jmen a hesel a proaktivně informovat uživatele DIsney+ s žádostí o změnu přihlašovacích údajů. Netflix to udělal v minulosti.
V konečném důsledku, Disney+ není v tomto problému sám. Útočníci prodávají na takzvaném dark webu také přihlašovací údaje k účtům Netflix. Špatné zabezpečení hesel představuje riziko pro mnoho online účtů. Proto technologický průmysl usiluje o úplné opuštění hesel.
Je důležité zdůraznit, že Disney+ *NEBYL* hacknut. Nedšlo k úniku dat na straně Disney+.
Pokud máte obavy, zaregistrujte se ke správci hesel (například @LastPass nebo @1Heslo), vygenerujte si nové (náhodné) heslo a *ZMĚŇTE* své heslo.
Také se podívejte na https://t.co/wKe1GnPdqV a zkontrolujte si své účty.
— Justin Duino? (@jaduino) 19. listopadu 2019