Milhares de credenciais foram capturadas em campanhas de phishing e colocadas à venda por valores de no máximo US$ 11pela assinatura
O Disney +, o serviço de streaming do grupo Disney, foi inaugurado com festa e pompa na terça-feira da semana passada, dia 12, e infelizmente encerrou a semana com más notícias: além dos problemas de travamento e de acesso nos primeiros dias, hackers já conseguiram obter as credenciais de milhares de usuários e as comercializaram na Dark Web por valores que variaram de US$ 3 a US$ 11, informou o portal ZDNet.
A invasão foi detectada pelos próprios usuários, que informaram nas mídias sociais a existência perfis de perfis não-autorizados em suas contas – ao acessarem suas novas contas Disney +, eles encontram nomes estranhos e perfis extras adicionados à conta. Outros relataram que as contas foram invadidas, com o e-mail e a senha de contato alterados, impedindo-os de usar os serviços adquiridos. Embora por enquanto esteja disponível apenas nos EUA, Canadá e Holanda, o serviço já conseguiu 10 milhões de assinantes logo no primeiro dia de operação.
Uma das coisas que os hackers fizeram foram campanhas de phishing, dizendo aos usuários que sua conta Disney + havia sido bloqueada ou que seu cartão de crédito precisava ser atualizado. Isso induziria as pessoas a fornecerem seus dados, inclusive suas senhas. Com as informações de login contidas, eles começaram a revendê-las na dark web, depois de alterar essas credenciais. Outra técnica utilizada foi utilizar nomes de usuário e senhas roubados de outros sites e testá-los em diferentes serviços de streaming para ver se eles também funcionam lá. A partir desse ponto as credenciais já podem ser vendidas.
Aparentemente faltam ao serviço alguns recursos básicos de segurança e de operação. Uma das queixas dos usuários do Disney + é de que por um lado ele oferece um limite de dez dispositivos para cada conta. Por outro, não existe nenhuma maneira de estender esse limite. Pior ainda, não é possível, ao menos por enquanto, remover dispositivos já cadastrados. Portanto, se algum usuário não-autorizado entrou na conta e cadastrou um dispositivo, por enquanto não há como removê-lo.
Com agências internacionais