A distanza di pochi giorni molti utenti non accedono più all’account

John Shier, Senior Security Advisor di Sophos, ha rilasciato oggi una dichiarazione molto interessanti sui problemi di sicurezza di Disney+.

“A poche settimane dal lancio, la piattaforma streaming della Disney è già coinvolta in alcuni problemi legati alla sicurezza offerta dal servizio. 

Molti utenti Disney+ hanno segnalato di non riuscire più ad accedere al proprio account. Sebbene Disney+ dichiari di non aver subito alcun attacco informatico, la nostra esperienza ci suggerisce all’origine del problema potrebbe esserci un attacco di tipo credential stuffing.

problemi sicurezza Disney+

La tecnica sfrutta il fatto che le persone usino le stesse credenziali per accedere a più applicazioni, siti e servizi, oppure una campagna phishing contro gli utenti Disney+ o ancora un malware in grado di rubare le credenziali dai device degli utenti.

Nel caso degli attacchi credential stuffing, i cybercriminali sfruttano credenziali sottratte da un sito, che spesso sono già disponibili sul dark web, e le utilizzano per accedere ad altri servizi online.

Questo tipo di attacco non fa che evidenziare ancora una volta i rischi che si corrono usando una sola mail per accedere a diverse piattaforme e siti.

Come ben sappiamo, i criminali informatici sono pigri…proprio come noi e se riusciranno a cavarsela utilizzando password già compromesse, non perderanno di certo la ghiotta occasione.

L’attesa febbrile del lancio di Disney+ e il lancio finora limitato solo ad alcuni paesi (Stati Uniti e Canada, mentre l’Europa dovrà attendere fino al 31 marzo 2020) hanno portato gli utenti più impazienti a cercare nuovi modi per accedere al servizio, anche a costo di usare le credenziali di qualcun’altro.

Ciò naturalmente rappresenta un’opportunità imperdibile per lanciare una campagna phishing volta a colpire il più alto numero di vittime possibile monetizzando al massimo.

Inoltre, attraverso la diffusione di malware in grado di sottrarre password, gli hacker potrebbero aver individuato, tra i dati raccolti, anche le credenziali di accesso a Disney+ e averle messe in vendita approfittando del grande clamore suscitato dal lancio della piattaforma.

Al momento purtroppo Disney+ non mette a disposizione un’autenticazione a due fattori, che potrebbe bloccare questo genere di attacco.

Qualunque sia l’origine del problema in cui si sono imbattuti gli utenti di Disney+ restano valide le regole auree da mettere in atto ogni giorno per muoversi online in tutta sicurezza:

  • Non riutilizzare vecchie password, perché qualora fossero state sottratte in passato, i cybercriminali potrebbero “riciclarle” per nuovi attacchi
  • Fornire online il minor numero possibile di informazioni personali 
  • Tutti i servizi online dovrebbero offrire un’autenticazione a due fattori per garantire che le password siano davvero protette e non siano l’unico baluardo di difesa”

Chi è l'autore

Mister Gadget Team

Mister Gadget è il manuale breve delle istruzioni per chi ama la tecnologia.
Non abbiamo preferenze, per noi Android e iOS sono solo due modi diversi per fare le stesse cose.
Non ci piacciono i talebani, nemmeno quelli tecnologici.
Se non trovate notizie su un brand, è perché non ci piace.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.