Stort antal Disney+ konton utsatta för intrång och till salu
Ett betydande antal Disney+-konton har komprometterats och säljs nu öppet på olika nätforum. Kriminella säljer inloggningsinformation för dessa konton till priser mellan 3 och 11 dollar. Denna artikel undersöker möjliga orsaker till detta och hur du kan skydda ditt eget konto.
Hur går det till när Disney+-konton hackas?
Enligt Variety har Disney själva uttalat att de ”inte sett några bevis för ett säkerhetsintrång” i sina egna system. De menar att det endast är en ”liten andel” av deras över 10 miljoner användare som drabbats och fått sina inloggningsuppgifter röjda.
Men om det inte skett något intrång i Disneys servrar, hur kan då tusentals konton vara utsatta?
Den troliga förklaringen är återanvändning av lösenord. Om du använder samma lösenord på flera olika webbplatser, är risken stor att dina inloggningsuppgifter redan läckt från någon annan källa. I ett sådant scenario behöver en angripare bara ta dessa komprometterade uppgifter och prova dem på andra plattformar.
Låt oss illustrera med ett exempel. Anta att du använder e-postadressen ”[email protected]” och lösenordet ”StarktLösenord” på flera olika ställen. Under de senaste åren har ett flertal webbplatser blivit utsatta för intrång, vilket gör det troligt att just ”[email protected] / StarktLösenord” finns i någon av databaserna med läckta inloggningsuppgifter. När Disney+ sedan lanseras och du använder samma uppgifter, blir du alltså sårbar. Hackare kan då utnyttja dessa uppgifter för att få tillgång till ditt Disney+-konto.
Även om vi inte med säkerhet vet exakt hur dessa konton komprometterades, är denna metod en vanlig angreppsvektor. En annan potentiell faktor kan vara skadlig programvara som loggar tangenttryckningar i bakgrunden på användares datorer och samlar in deras uppgifter. Oavsett vilket är dessa säkerhetsproblem hos slutanvändaren den mest sannolika orsaken – snarare än en direktattack mot Disneys infrastruktur.
Återanvändning av lösenord är ett allvarligt problem. En undersökning utförd av Google/Harris under 2019 visar att 52% av befolkningen använder samma lösenord för flera konton, och 13% använder till och med samma lösenord för alla sina konton. Endast 35% av de tillfrågade uppgav att de använder unika lösenord för alla sina onlinekonton.
Hur du skyddar ditt Disney+-konto
För att skydda ditt konto, bör du börja med att använda ett unikt lösenord för just ditt Disney+-konto – och faktiskt för alla dina konton på nätet. Det kan vara svårt, eller till och med omöjligt, att memorera många starka och unika lösenord. Därför rekommenderas det starkt att använda en lösenordshanterare. Med en lösenordshanterare behöver du bara komma ihåg ett starkt huvudlösenord för att få tillgång till dina sparade lösenord. Lösenordshanteraren kan sedan generera starka och unika lösenord och automatiskt fylla i dem när du loggar in.
Byt ut dina svaga och återanvända lösenord mot starka, unika sådana. Använd en lösenordshanterare för att underlätta detta och spara din mentala ansträngning.
Det finns många olika lösenordshanterare att välja mellan. Vi kan nämna 1Password och LastPass som populära alternativ. Dashlane har ett intuitivt användargränssnitt. Bitwarden och KeepPass är öppna källkodsalternativ. Även din webbläsare har en inbyggd lösenordshanterare, men dessa rekommenderas inte, även om de kan vara bättre än ingenting.
Du kan också kontrollera om dina lösenord har förekommit i kända dataintrång genom att använda en tjänst som Have I Been Pwned?. Många lösenordshanterare, som 1Password och LastPass, har också inbyggda funktioner som kan kontrollera detta. Det är dock viktigt att komma ihåg att även om ditt lösenord inte finns i någon av dessa databaser, så kan det ändå ha komprometterats.
De vanliga säkerhetstipsen gäller också. Använd antivirusprogram på din dator, se till att din programvara alltid är uppdaterad, och aktivera tvåfaktorsautentisering för viktiga konton som din e-post. Tvåfaktorsautentisering ger ett extra lager av säkerhet, även om någon skulle få tag på dina lösenord.
Disneys åtgärder mot misstänkta inloggningar
Disney meddelade även i Variety att de ”aktivt spärrar användarkonton som uppvisar misstänkt inloggningsaktivitet och uppmanar användare att välja ett nytt lösenord.” Om detta fungerar som tänkt, kanske dessa komprometterade Disney+-konton inte är så värdefulla för kriminella, även för så lite som 3 dollar.
Om du har blivit utelåst från ditt konto, rekommenderar Disney att du kontaktar deras kundtjänst.
Vad Disney kan göra för att skydda sina användare
Även om ansvaret för dessa intrång troligtvis inte ligger hos Disney+, finns det saker de kan göra. Ett bra exempel är att erbjuda tvåfaktorsautentisering. Det innebär att användaren behöver ange en extra kod, som skickas via SMS eller genereras av en app, innan hen får logga in.
Detta skulle hjälpa dem som återanvänder sina lösenord, men alla användare skulle kanske inte aktivera denna funktion. Tvåfaktorsautentisering är en bra metod, men det är inte en universallösning.
Disney skulle även kunna införa ett system för att automatiskt söka efter kända läckta användarnamn och lösenord och meddela de användare som är berörda. De skulle då uppmanas att byta lösenord. Netflix har tidigare använt sig av denna strategi.
I slutändan är Disney+ inte ensamma med detta problem. Det säljs också inloggningsuppgifter för Netflix-konton på det mörka nätet. Dåliga vanor kring lösenordsskydd utgör en risk för alla möjliga onlinekonton. Det är därför diskussionen om att fasa ut lösenord fortsätter.
Sammanfattningsvis: Disney+ har *INTE* blivit hackade. Det har inte skett något intrång i Disneys system.
Om du känner dig orolig, börja med att skaffa en lösenordshanterare (exempelvis @LastPass eller @1Password). Generera sedan ett nytt, slumpmässigt lösenord och *BYT* ditt lösenord.
Du bör även kolla dina konton på: https://t.co/wKe1GnPdqV.
– Justin Duino? (@jaduino) 19 november 2019