Violati gli account della piattaforma streaming Disney Plus

Molti utenti Disney+ hanno segnalato di non riuscire più ad accedere al proprio account. Sebbene Disney+ dichiari di non aver subito alcun attacco informatico, la nostra esperienza ci suggerisce all’origine del problema potrebbe esserci un attacco di tipo credential stuffing, che sfrutta il fatto che le persone usino le stesse credenziali per accedere a più applicazioni, siti e servizi, oppure una campagna phishing contro gli utenti Disney+ o ancora un malware in grado di rubare le credenziali dai device degli utenti.

Nel caso degli attacchi credential stuffing, i cybercriminali sfruttano credenziali sottratte da un sito, che spesso sono già disponibili sul dark web, e le utilizzano per accedere ad altri servizi online. Questo tipo di attacco non fa che evidenziare ancora una volta i rischi che si corrono usando una sola mail per accedere a diverse piattaforme e siti. Come ben sappiamo, i criminali informatici sono pigri…proprio come noi e se riusciranno a cavarsela utilizzando password già compromesse, non perderanno di certo la ghiotta occasione.

L’attesa febbrile del lancio di Disney+ e il lancio finora limitato solo ad alcuni paesi (Stati Uniti e Canada, mentre l’Europa dovrà attendere fino al 31 marzo 2020) hanno portato gli utenti più impazienti a cercare nuovi modi per accedere al servizio, anche a costo di usare le credenziali di qualcun altro. Ciò naturalmente rappresenta un’opportunità imperdibile per lanciare una campagna phishing volta a colpire il più alto numero di vittime possibile monetizzando al massimo.

Inoltre, attraverso la diffusione di malware in grado di sottrarre password, gli hacker potrebbero aver individuato, tra i dati raccolti, anche le credenziali di accesso a Disney+ e averle messe in vendita approfittando del grande clamore suscitato dal lancio della piattaforma.

Al momento purtroppo Disney+ non mette a disposizione un’autenticazione a due fattori, che potrebbe bloccare questo genere di attacco.

Qualunque sia l’origine del problema in cui si sono imbattuti gli utenti di Disney+ restano valide le regole auree da mettere in atto ogni giorno per muoversi online in tutta sicurezza:

• Non riutilizzare vecchie password, perché qualora fossero state sottratte in passato, i cybercriminali potrebbero “riciclarle” per nuovi attacchi
• Fornire online il minor numero possibile di informazioni personali
• Tutti i servizi online dovrebbero offrire un’autenticazione a due fattori per garantire che le password siano davvero protette e non siano l’unico baluardo di difesa

* di John Shier, Senior Security Advisor, Sophos