Sicurezza

Disney Plus, a poche ore dal lancio diversi account hackerati e compravendita abbonamenti sui forum

Negli Stati Uniti, a neanche una settimana dal lancio di Disney+, si è registrato un proliferare di furti di account. In pratica, secondo un’inchiesta di Zdnet in collaborazione con Andrei Barysevich , CEO e co-fondatore di Gemini Advisory, diversi utenti (si suppone migliaia) si sono ritrovati con l’accesso hackerato. A stretto giro su forum specializzati è iniziata la compravendita di abbonamenti a prezzi stracciati – da 3 dollari a 13 dollari – o gratuiti, invece dei canonici 6,99 dollari.

Non è ancora chiaro quante siano realmente le vittime (Disney non ha commentato), anche se i dati parlano di più di 10 milioni di abbonati in 24 ore fra Nord America e Paesi Bassi. La questione di fondo è che non si sarebbe trattato di un problema tecnico o una debolezza della piattaforma streaming di Disney, bensì verosimilmente una leggerezza perpetrata dagli utenti.

In pratica diversi clienti una volta abbonati al servizio, che per altro riconosce una settimana di prova gratuita, avrebbero impiegato login e password già segnalati nei numerosi database online sottratti in questi anni a diverse piattaforme digitali. Ad esempio Google, e non solo, mette a disposizione un sistema che controlla le password salvate e le confronta con i lunghi elenchi di account leak rilevati online dalle società di cybersicurezza. Insomma, enormi database che gli hacker sfruttano per attacchi brute-force. Non si escludono comunque anche attacchi mirati via keylogging o malware. Tutto questo ha consentito a malintenzionati di accedere agli account, disconnettere ogni dispositivo registrato e cambiare le password dei legittimi proprietari.

A tutti gli effetti gli utenti avrebbero dovuto affidarsi a login e password diverse rispetto a quelle già impiegate su altre piattaforme, ma è anche vero che Disney avrebbe potuto attivare fin dall’inizio l’autenticazione a due fattori. Quella che prevede ad esempio la notifica su smartphone di un codice che deve essere inserito sulla piattaforma insieme alle proprie normali credenziali.

Certo ha stupito non poco che il 12 novembre a distanza da un paio d’ore dall’inaugurazione del servizio fossero già disponibili sui forum account trafugati, ma è pur vero che tutte le piattaforme streaming a pagamento sono soggette allo stesso problema.