Veliki broj korisničkih naloga na platformi Disney+ je kompromitovan, te se podaci za pristup prodaju na internetu. Kriminalci nude pristup kompromitovanim nalozima po ceni od 3 do 11 dolara. U nastavku teksta ćemo objasniti kako je verovatno došlo do ovoga i kako možete zaštititi svoj Disney+ nalog.
Kako su hakovani Disney+ nalozi?
Iz kompanije Disney su za Variety izjavili da “nema dokaza o narušavanju sigurnosti” njihovih servera i da je samo “mali procenat” od preko 10 miliona korisnika imao kompromitovane i procurele podatke za prijavu.
Ako serveri kompanije Disney nisu hakovani, kako su onda hiljade naloga kompromitovani?
Još jednom, čini se da je glavni krivac ponovna upotreba lozinki. Ukoliko koristite istu lozinku na različitim web lokacijama, vaši podaci za prijavu su verovatno već procureli sa neke druge platforme. Sada, “haker” treba samo da uzme te već kompromitovane podatke i isproba ih na drugim web sajtovima.
Na primer, zamislite da se prijavljujete sa adresom „[email protected]“ i lozinkom “SuperSigurnaLozinka” svuda. Mnogo web lokacija je hakovano u prethodnim godinama, pa je “[email protected] / SuperSigurnaLozinka” vrlo verovatno u nekoj od baza podataka sa procurelim akreditivima. Kada je Disney+ pokrenut, prijavljivali ste se koristeći vašu uobičajenu email adresu i lozinku. Hakeri pokušavaju da koriste procurela korisnička imena i lozinke na Disney+ i drugim servisima, te tako dobijaju pristup.
Ne možemo sa sigurnošću tvrditi da su nalozi kompromitovani na ovaj način, ali ovako se uglavnom dešavaju kompromitacije naloga. Drugi mogući uzrok bi mogao biti malver za snimanje pritisaka na tastaturi (keylogger) koji radi u pozadini na računarima korisnika i snima njihove akreditive. U svakom slučaju, bezbednosni problemi kod krajnjeg korisnika su najverovatniji uzrok – a ne hakovanje Disney servera.
Ponovna upotreba lozinki predstavlja veliki problem na internetu. Google/Harris anketa iz 2019. godine pokazala je da 52% ljudi koristi istu lozinku za više naloga, a 13% koristi istu lozinku svuda. Samo 35% anketiranih izjavilo je da koristi jedinstvene lozinke svuda.
Kako zaštititi svoj Disney+ nalog
Koristite jedinstvenu lozinku za svoj Disney+ nalog – i sve svoje druge naloge na internetu. Teško je (verovatno nemoguće!) zapamtiti toliko jakih, jedinstvenih lozinki. Zbog toga preporučujemo korišćenje menadžera lozinki. Pamti se samo jedna jaka glavna lozinka koja otključava vaš siguran trezor sa lozinkama. Vaš menadžer lozinki automatski kreira jake lozinke za vaše online naloge i unosi ih umesto vas.
Zamenite vaše slabe, ponovno korišćene lozinke sa jakim i jedinstvenim lozinkama. Prepustite menadžeru lozinki da obavi posao i sačuvajte vašu mentalnu energiju.
Ne preporučujemo nijedan konkretan menadžer lozinki. Mi preferiramo 1Password i LastPass. Dashlane ima jednostavan interfejs. Bitwarden i KeePass su open-source rešenja. Čak i vaš web pretraživač ima ugrađen menadžer lozinki – iako ne preporučujemo korišćenje ugrađenih menadžera, oni su bolji od toga da ne koristite ništa.
Možete proveriti da li se vaša lozinka pojavila u nekim poznatim incidentima krađe podataka koristeći servise kao što je Have I Been Pwned?. Menadžeri lozinki poput 1Password i LastPass takođe proveravaju da li su lozinke koje koristite kompromitovane. Ipak, nemojte se uljuljkati u lažan osećaj sigurnosti: čak i ako se vaša lozinka ne pojavi u ovoj bazi podataka, moguće je da je ipak procurela.
Važe i standardni saveti za online sigurnost: uverite se da koristite anti-malware softver na svom Windows računaru, održavajte softver ažurnim i omogućite dvofaktorsku autentifikaciju za osetljive naloge kao što je vaš email. Ova dvostepena verifikacija će vam pomoći da ostanete zaštićeni čak i ako neko sazna vaše korisničko ime i lozinku.
Disney detektuje sumnjive prijave
Iz kompanije Disney su za Variety takođe izjavili da „kada otkrijemo pokušaj sumnjive prijave, proaktivno zaključavamo povezani korisnički nalog i upućujemo korisnika da odabere novu lozinku.“ Ako je Disney obratio pažnju na ovaj problem, kompromitovani detalji Disney+ naloga verovatno neće biti dobra investicija za kriminalce – čak i za samo 3 dolara.
Ako ste zaključani, iz Disney-a kažu da treba da kontaktirate njihovu korisničku podršku.
Šta Disney treba da uradi kako bi zaštitio svoje korisnike
Iako Disney+ verovatno nije kriv za ove incidente, Disney definitivno može učiniti više. Disney bi mogao uvesti dvostepenu autentifikaciju, obezbeđujući da morate uneti dodatni kod – verovatno onaj koji je poslat na vaš telefon ili generisan pomoću aplikacije – pre nego što se prijavite.
Naravno, ovo bi zaštitilo ljude koji su ponovo koristili lozinke svuda, ali ovi ljudi verovatno ne bi ni omogućili tu opciju. Dvostepena autentifikacija je odlična opcija koju želimo da vidimo svuda, ali nije rešenje za sve probleme.
Pored toga, Disney bi mogao automatski tražiti kombinacije korisničkog imena i lozinke koje su procurele, te proaktivno obavestiti Disney+ korisnike, tražeći od njih da promene svoje korisničko ime i lozinke. Netflix je to radio u prošlosti.
Međutim, Disney+ nije usamljen u ovom problemu. Kriminalci prodaju akreditive za Netflix naloge na dark web-u. Loše sigurnosne prakse vezane za lozinke predstavljaju rizik za mnoge različite naloge na internetu. Zbog toga tehnološka industrija konstantno govori o ukidanju lozinki.
Još jednom, Disney+ *NIJE* hakovan. Nije došlo do narušavanja podataka kompanije Disney+.
Ukoliko ste zabrinuti, registrujte se na menadžer lozinki (npr. @LastPass ili @1Password), generišite novu (slučajnu) lozinku i *PROMENITE* vašu lozinku.
Takođe, idite na https://t.co/wKe1GnPdqV i proverite vaše naloge.
— Džastin Duino (@jaduino) 19. novembra 2019. godine