Тисячі облікових записів на платформі Disney+ стали об’єктами атак, і їхні дані для входу тепер продаються в інтернеті. Зловмисники пропонують доступи до скомпрометованих профілів за ціною від 3 до 11 доларів. Розглянемо, яким чином це могло статися та як забезпечити безпеку вашого облікового запису Disney+.
Як відбуваються зламування облікових записів Disney+?
Компанія Disney у своєму зверненні до Variety заявила, що не виявила ознак порушення безпеки на своїх серверах. Водночас, лише “невелика частина” з понад 10 мільйонів користувачів зіткнулася з компрометацією даних для входу.
Якщо сервери Disney не були зламані, то як пояснити наявність тисяч зламаних облікових записів?
Причина, найімовірніше, полягає у повторному використанні паролів. Якщо ви використовуєте один і той самий пароль на кількох сайтах, ваші облікові дані, ймовірно, вже були викрадені з іншого джерела. У цьому випадку, “хакеру” залишається лише скористатися вже отриманими даними для входу та спробувати їх на інших платформах.
Наприклад, уявімо, що ви використовуєте електронну пошту “[email protected]” і пароль “НадійнийПароль” для багатьох сервісів. За останні роки відбулося багато витоків даних, тому комбінація “[email protected] / НадійнийПароль”, скоріш за все, фігурує в одній або декількох базах даних викрадених облікових даних. Коли ви реєструєтеся на Disney+, використовуючи звичну пошту та пароль, зловмисники можуть отримати доступ до вашого профілю, перевіряючи ці відомості на Disney+ та інших ресурсах.
Хоча ми не можемо стверджувати це напевно, більшість зламувань відбувається саме таким чином. Іншою можливою причиною може бути шкідливе програмне забезпечення, яке відстежує натискання клавіш на комп’ютері користувача та перехоплює його облікові дані. Таким чином, проблеми з безпекою кінцевих користувачів є найбільш вірогідним джерелом проблем, а не злам серверів Disney.
Повторне використання паролів є серйозною загрозою в інтернеті. Згідно з дослідженням Google / Harris Poll, проведеним на початку 2019 року, 52% людей використовують один і той самий пароль для кількох облікових записів, а 13% – постійно використовують один і той же пароль. Лише 35% опитаних стверджують, що використовують унікальні паролі для кожного сервісу.
Як захистити свій обліковий запис Disney+?
Використовуйте унікальний пароль для свого облікового запису Disney+ та для всіх інших онлайн-профілів. Запам’ятати багато надійних, унікальних паролів складно (а може, й неможливо!). Тому ми рекомендуємо використовувати менеджер паролів. Вам потрібно запам’ятати лише один надійний головний пароль для доступу до захищеного сховища паролів. Ваш менеджер паролів автоматично генеруватиме надійні паролі для ваших облікових записів та автоматично заповнюватиме їх.
Замініть ваші слабкі, повторювані паролі на надійні та унікальні. Дозвольте менеджеру паролів виконати цю роботу за вас та зберегти вашу розумову енергію.
Ми не рекомендуємо конкретний менеджер паролів. Нам подобаються 1Password та LastPass. Dashlane має зручний інтерфейс. Bitwarden та KeePass є відкритими. Навіть ваш браузер має вбудований менеджер паролів — хоча ми не радимо використовувати вбудовані менеджери, це все ж краще, ніж нічого.
Ви можете перевірити, чи був ваш пароль скомпрометований внаслідок відомих витоків даних за допомогою такого сервісу, як Have I Been Pwned? Менеджери паролів, як-от 1Password та LastPass, також можуть перевіряти, чи не були ваші паролі зламані. Проте не слід покладатися на це повністю: навіть якщо ваш пароль не відображається в базі даних, він все одно може бути скомпрометований.
Загальні правила онлайн-безпеки також важливі: використовуйте антивірусне програмне забезпечення на вашому комп’ютері, регулярно оновлюйте програми, та активуйте двофакторну аутентифікацію для важливих облікових записів, наприклад, електронної пошти. Цей додатковий рівень захисту допоможе вам, навіть якщо хтось отримає ваше ім’я користувача та пароль.
Disney відстежує підозрілі входи
Компанія Disney також повідомила Variety, що “при виявленні підозрілої спроби входу, вони блокують відповідний обліковий запис і пропонують користувачеві встановити новий пароль”. Якщо Disney буде діяти швидко, ці скомпрометовані дані облікових записів Disney+ можуть стати марними для зловмисників, навіть якщо вони коштують всього 3 долари.
Якщо ваш обліковий запис заблоковано, Disney рекомендує звернутися до служби підтримки клієнтів.
Що Disney має зробити для захисту своїх користувачів?
Хоча Disney+, скоріш за все, не винний у цих інцидентах, компанія, безумовно, може зробити більше. Disney може запровадити двофакторну аутентифікацію, яка вимагатиме додатковий код, надісланий на ваш телефон або згенерований додатком, перед входом.
Звісно, це захистило б користувачів, які використовують один і той самий пароль всюди, але ці ж користувачі навряд чи б активували цю функцію. Двофакторна аутентифікація – чудовий варіант, який ми хотіли б бачити повсюди, але це рішення підходить не для всіх.
Крім того, Disney може автоматично відстежувати розкриті комбінації логінів та паролів і проактивно інформувати користувачів Disney+, пропонуючи їм змінити їх. Netflix вже вдавався до подібних дій в минулому.
Втім, Disney+ не єдиний, хто опинився у такій ситуації. Зловмисники також продають облікові дані від Netflix у темній мережі. Недостатньо надійні методи захисту паролів створюють ризик для багатьох різних онлайн-профілів. Саме тому технологічна індустрія продовжує говорити про відмову від паролів.
Повторюємо, Disney+ *НЕ* був зламаний. Не було витоку даних Disney+.
Якщо ви стурбовані, зареєструйтеся в менеджері паролів (наприклад, @LastPass або @1Password), створіть новий (випадковий) пароль та *ЗМІНІТЬ* свій поточний пароль.
Також перейдіть за посиланням https://t.co/wKe1GnPdqV і перевірте свої облікові записи.
— Джастін Дуіно? (@jaduino) 19 листопада 2019 року