Tusenvis av Disney+ kontoer har blitt «hacket» og er det til salgs på nett. Kriminelle selger påloggingsdetaljer for kompromitterte kontoer fra mellom $3 og $11. Her er hvordan det sannsynligvis skjedde – og hvordan du kan beskytte Disney+-kontoen din.
Innholdsfortegnelse
Hvordan hackes Disney+-kontoer?
Disney fortalte Variasjon det er sett «ingen bevis for et sikkerhetsbrudd» på serverne, og at bare en «liten prosentandel» av de over 10 millioner brukerne har fått innloggingsopplysningene sine kompromittert og lekket.
Men hvis Disneys servere ikke har blitt kompromittert, hvordan er det tusenvis av hackede kontoer?
Nok en gang ser den skyldige ut til å være gjenbruk av passord. Hvis du gjenbruker det samme passordet på flere nettsteder, har påloggingsdetaljene dine sannsynligvis allerede lekket fra et annet nettsted. Nå er alt en «hacker» trenger å gjøre å ta de allerede kompromitterte påloggingsdetaljene og prøve dem på andre nettsteder.
La oss for eksempel si at du logger på med «[email protected]” og passordet “SuperSecurePassword” overalt. Mange nettsteder har blitt brutt de siste årene, så «[email protected] / SuperSecurePassword” er sannsynligvis i en eller flere databaser med lekket legitimasjon. Når Disney+ lanseres, registrerer du deg med din vanlige e-postadresse og passord. Hackere prøver lekke brukernavn og passord på Disney+ og andre tjenester og får tilgang.
Vi vet ikke sikkert at det er slik disse kontoene ble kompromittert, men det er slik kontoer vanligvis blir kompromittert. En annen mulig skyldig kan være nøkkellogging av skadelig programvare som kjører i bakgrunnen på folks datamaskiner og registrerer deres legitimasjon. I alle fall er disse sluttbrukersikkerhetsproblemene den mest sannsynlige årsaken – ikke et brudd på Disneys servere.
Gjenbruk av passord er et alvorlig problem på nettet. EN Spørreundersøkelse fra Google / Harris fra tidligere i 2019 fant at 52 % av folk bruker samme passord for flere kontoer, og 13 % gjenbruker det samme passordet overalt. Bare 35 % av de spurte sier at de bruker unike passord overalt.
Slik beskytter du Disney+-kontoen din
Bruk et unikt passord for Disney+-kontoen din – og alle de andre kontoene dine på nettet. Det er vanskelig (uten tvil umulig!) å huske så mange sterke, unike passord. Derfor anbefaler vi å bruke en passordbehandler. Du husker ett sterkt hovedpassord for å låse opp ditt sikre passordhvelv. Passordbehandleren oppretter automatisk sterke passord for nettkontoene dine og fyller dem ut for deg.
Endre dine svake, gjenbrukte passord til sterke, unike. La en passordbehandler gjøre jobben og spar mental energi.
Vi presser ikke noen spesiell passordbehandler her. Vi liker 1Passord og LastPass. Dashlane har et fint grensesnitt. Bitwarden og KeepPass er åpen kildekode. Nettleseren din har til og med en innebygd passordbehandler – selv om vi fraråder å bruke de innebygde passordbehandlerne, er de bedre enn ingenting.
Du kan sjekke om passordet ditt har dukket opp i noen kjente datainnbrudd med en tjeneste som Har jeg blitt pwned? Passordadministratorer som 1Password og LastPass vil også sjekke om noen passord du bruker har blitt brutt. Ikke ha en falsk følelse av sikkerhet: Selv om passordet ditt ikke vises i denne databasen, kan det fortsatt ha blitt brutt.
De vanlige sikkerhetstipsene på nettet gjelder også: Pass på at du kjører antimalware-programvare på Windows-PCen din, hold programvaren oppdatert og aktiver tofaktorautentisering for sensitive kontoer som e-post. Den to-trinns sikkerheten vil bidra til å beskytte deg selv om noen fanger opp brukernavnet og passordet ditt.
Disney ser etter mistenkelige pålogginger
Disney fortalte også Variasjon at «når vi finner et forsøk på mistenkelig pålogging, låser vi proaktivt den tilknyttede brukerkontoen og ber brukeren velge et nytt passord.» Hvis Disney er på topp, kan det hende at disse kompromitterte Disney+-kontoopplysningene ikke er en god verdi for kriminelle – selv for bare $3.
Hvis du er utestengt, sier Disney at du bør kontakt deres kundeservice.
Hva Disney bør gjøre for å beskytte brukerne sine
Mens Disney+ sannsynligvis ikke er skyld i disse bruddene, er det definitivt mer Disney kan gjøre. Disney kan tilby to-trinns autentisering, og sikre at du må oppgi en tilleggskode – muligens en sendt til telefonen din eller generert av en app – før du logger på.
Jada, dette ville beskytte folk som gjenbrukte passord overalt, men de ville sannsynligvis ikke aktivert det. To-trinns autentisering er et flott alternativ vi ønsker å se overalt, men det er ikke en løsning for alle.
Utover det kan Disney automatisk søke etter lekkede kombinasjoner av brukernavn og passord og proaktivt informere DIsney+-brukere, og be dem endre brukernavn og passord. Netflix har gjort dette tidligere.
Til syvende og sist er imidlertid ikke Disney+ alene her. Kriminelle selger også legitimasjon for Netflix-kontoer på det mørke nettet. Dårlig passordsikkerhetspraksis er en risiko for mange forskjellige nettkontoer. Det er derfor teknologiindustrien fortsetter å snakke om å drepe passord.
Igjen, Disney+ ble *IKKE* hacket. Det var ingen Disney+ datainnbrudd.
Hvis du er bekymret, registrer deg for en passordbehandling (som f.eks @LastPass eller @1Passord), generer et nytt (tilfeldig) passord, og *ENDRE* passordet ditt.
Gå også til https://t.co/wKe1GnPdqV og sjekk kontoene dine.
– Justin Duino? (@jaduino) 19. november 2019