Пользователи стримингового сервиса Disney+ массово жалуются на кражу своих аккаунтов. На хакерских сайтах взломанные учетные записи можно купить за несколько долларов или вовсе получить бесплатно.

Веб-сервис Disney+, который запустили 12 ноября, доступен пользователям в США, Канаде и Нидерландах. Уже в первые сутки количество зарегистрированных пользователей превысило 10 млн. Такой наплыв посетителей даже вызвал технические сбои и перегрузил службу поддержки — сотрудники не успевали отвечать недовольным клиентам, у которых не получалось авторизоваться на сайте из-за пропадающего соединения.

Вскоре выяснилось, что проблемы аудитории не ограничиваются нестабильным доступом. В социальных сетях стали появляться жалобы на потерю аккаунта — тысячи пользователей обнаружили в своих ящиках уведомления о смене учетных данных, после чего они не смогли залогиниться на сайте. Ситуацию усугубило и то, что аккаунт Disney+ используется для доступа к другим сервисам компании, включая магазины и парки развлечений. В результате жертвы злоумышленников разом лишились всех своих учетных записей в этой инфраструктуре.

В настоящее время аккаунты Disney+ — популярный товар на подпольных торговых площадках. Цена варьируется от $3 до $11 (стоит отметить, что легальная подписка на Disney+ стоит $7). В некоторых случаях доступ к сервису можно получить и бесплатно — учетные данные публикуются на хакерских форумах в открытом виде. Разработчики Disney оставили техническую возможность совместного использования аккаунтов, поэтому можно предположить, что многие клиенты сервиса и не догадаются, что к их подписке имеют доступ посторонние.

Хотя клиенты массово обвиняют создателей сервиса в небрежном отношении к безопасности, большинство экспертов указывают на ошибки самих пользователей. Представители корпорации заявили журналистам Gizmodo, что инциденты не связаны с утечками баз данных. Некоторые клиенты признались, что использовали для доступа к Disney+ свои старые пароли. В тех случаях, когда код доступа был уникальным, специалисты подозревают, что злоумышленники использовали шпионские трояны и прочие подобные программы.

В то же время эксперты отмечают, что все случившееся было бы невозможным, если бы Disney+ поддерживал двухфакторную аутентификацию. Такой способ авторизации подразумевает, что пользователь вводит не только пароль, но и дополнительный код — например, из SMS или электронной почты.

На данный момент всем клиентам Disney+, которые использовали слабый пароль, рекомендуется установить более стойкий код доступа. Предварительно стоит проверить свой компьютер на присутствие шпионского ПО.

Ранее сообщалось, что стриминговые сервисы находятся на втором месте по популярности у организаторов атак с подстановкой учетных данных. Во второй половине 2018 года аналитики зафиксировали более 8,1 млрд попыток взломать такие аккаунты с помощью паролей с других интернет-ресурсов.

В начале года сотрудники австралийской полиции совместно с ФБР арестовали 21-летнего киберпреступника, который управлял сайтом по продаже пользовательских аккаунтов. По оценкам правоохранительных органов, незаконная деятельность принесла молодому человеку не менее $212 тысяч.

Категории: Хакеры