Disney+

Disney+, près de 4000 comptes piratés

Des milliers de compte Disney+ sont apparus sur les forums de piratage et les clients se plaignent du service client de Disney.

Le service de streaming Disney+ a été lancé la semaine dernière et a été ciblé par des pirates cherchant à compromettre des comptes d’utilisateurs. Les informations d’environ 4000 comptes sont apparus sur des forums de piratage selon certains rapports. Chaque compte serait apparemment vendu 3$.

Une enquête menée par ZDNet a montré que les détails de comptes disponibles sur ces forums clandestins incluent les noms d’utilisateur, les mots de passe, les types d’abonnement et les dates d’expiration.

“Ce n’est pas une surprise quand les cybercriminels sautent sur l’occasion quand il y’a un événement de ce type,” a déclaré Niels Schweisshelm, manager du programme technique chez HackerOne.

Monique Becenti, spécialiste de produit chez la firme de sécurité SiteLock, a ajouté dans une interview, “Dans le cas présent, les cybercriminels ont été rapide pour se jeter sur les comptes d’utilisateur de Disney+ car la plateforme prévoyait d’attirer des millions d’utilisateurs. Le nombre important d’utilisateurs combiné avec une plateforme relativement nouvelle a donné une opportunité aux hackers d’exploiter des faiblesses inconnues.

Disney+

Les clients affirment que les pirates ont même pris le contrôle de leurs comptes en changeant leurs emails et mots de passe. Beaucoup se sont dirigés vers les réseaux sociaux pour se plaindre.

Traduction: J’ai créé un second compte Disney+ pour un essai d’une semaine, avec un email et mot de passe différent, même carte bleue pour le paiement. Cela a fonctionné. Donc comment je supprime mon premier compte, auquel je n’ais plus accès? Je ne peux pas me connecter pour le supprimer.

Cet incident concerne seulement une fraction des 10 millions de personnes aux Etats-Unis, Canada et aux Pays-Bas qui se sont inscrits sur Disney+. Cependant, il y’a des répercussions importantes car les abonnées affirment que le service client de Disney ne les a pas vraiment aidé à récupérer leurs comptes.

Leçon de sécurité et échec pour Disney+

Il y’a très peu de détails concernant la méthode utilisée pour compromettre les comptes mais les chercheurs ont quelques idées et quelques recommandations.

“Il y’a quelques spéculations à propos de la source de la fuite des comptes d’utilisateurs. Si je devais deviner, je pense que c’est un malware ou une attaque d’hameçonnage qui a été utilisé pour prendre le contrôle des comptes,” a déclaré Fausto Oliveira, architecte de sécurité chez Acceptto

Becenti a ajouté:

“Dans certains cas, les cybercriminels obtiennent un accès aux comptes quand les usagers utilisent les mêmes mots de passe sur différentes plateformes, ou ils déploient des attaques cross-site scripting qui peuvent capturer les frappes de clavier lors de la connexion.”

Cependant beaucoup de victimes ont dit aux journalistes de BBC qu’ils utilisent des mots de passe uniques.

Le service de streaming n’offre pas d’authentification à 2 facteurs ou multi-facteurs (2FA/MFA), ce qui a provoqué une forte réaction chez les professionnels de la sécurité informatique qui demande à Disney+ d’améliorer leur méthode d’authentification.

“Disney aurait dû implémenter une authentification à multi-facteurs obligatoire, surtout pour les opérations privilégiées,” a déclaré Oliveira. “Se reposer uniquement sur les noms d’utilisateurs et les mots de passe n’est pas ce que l’on attend d’une compagnie comme Disney. J’espère que Disney prendra ses responsabilités et aidera les clients à se protéger des cybercriminels.”

Les services de ce genre doivent toujours être soumis à des tests de pénétration pour aider à réduire ou prévenir les incidents de ce genre. Il est aussi recommander aux usagers d’être prudent, d’utiliser des mots de passe différents sur chaque plateforme et de ne pas interagir avec les emails suspects qu’ils reçoivent.

Si cet article vous a plu, jetez un œil à notre article précédent.