Sophos ci spiega i problemi di sicurezza di Disney+

Luca Viscardi20 Novembre 2019
Disney+

John Shier, Senior Security Advisor di Sophos, ha rilasciato oggi una dichiarazione molto interessanti sui problemi di sicurezza di Disney+.

“A poche settimane dal lancio, la piattaforma streaming della Disney è già coinvolta in alcuni problemi legati alla sicurezza offerta dal servizio. 

Molti utenti Disney+ hanno segnalato di non riuscire più ad accedere al proprio account. Sebbene Disney+ dichiari di non aver subito alcun attacco informatico, la nostra esperienza ci suggerisce all’origine del problema potrebbe esserci un attacco di tipo credential stuffing.

problemi sicurezza Disney+

La tecnica sfrutta il fatto che le persone usino le stesse credenziali per accedere a più applicazioni, siti e servizi, oppure una campagna phishing contro gli utenti Disney+ o ancora un malware in grado di rubare le credenziali dai device degli utenti.

Nel caso degli attacchi credential stuffing, i cybercriminali sfruttano credenziali sottratte da un sito, che spesso sono già disponibili sul dark web, e le utilizzano per accedere ad altri servizi online.

Questo tipo di attacco non fa che evidenziare ancora una volta i rischi che si corrono usando una sola mail per accedere a diverse piattaforme e siti.

Come ben sappiamo, i criminali informatici sono pigri…proprio come noi e se riusciranno a cavarsela utilizzando password già compromesse, non perderanno di certo la ghiotta occasione.

L’attesa febbrile del lancio di Disney+ e il lancio finora limitato solo ad alcuni paesi (Stati Uniti e Canada, mentre l’Europa dovrà attendere fino al 31 marzo 2020) hanno portato gli utenti più impazienti a cercare nuovi modi per accedere al servizio, anche a costo di usare le credenziali di qualcun’altro.

Ciò naturalmente rappresenta un’opportunità imperdibile per lanciare una campagna phishing volta a colpire il più alto numero di vittime possibile monetizzando al massimo.

Inoltre, attraverso la diffusione di malware in grado di sottrarre password, gli hacker potrebbero aver individuato, tra i dati raccolti, anche le credenziali di accesso a Disney+ e averle messe in vendita approfittando del grande clamore suscitato dal lancio della piattaforma.

Al momento purtroppo Disney+ non mette a disposizione un’autenticazione a due fattori, che potrebbe bloccare questo genere di attacco.

Qualunque sia l’origine del problema in cui si sono imbattuti gli utenti di Disney+ restano valide le regole auree da mettere in atto ogni giorno per muoversi online in tutta sicurezza:

  • Non riutilizzare vecchie password, perché qualora fossero state sottratte in passato, i cybercriminali potrebbero “riciclarle” per nuovi attacchi
  • Fornire online il minor numero possibile di informazioni personali 
  • Tutti i servizi online dovrebbero offrire un’autenticazione a due fattori per garantire che le password siano davvero protette e non siano l’unico baluardo di difesa”

I bestseller della settimana

Registrati alla newsletter e diventa un tech-lover

Grazie!

Grazie! Riceverai una email per la verifica del tuo indirizzo di posta elettronica. Non sarai registrato fino a che non lo avrai confermato. Controlla anche nella cartella Spam.