Bitdefender kam nach Analyse des angeblichen Hackangriffes bei Disney+ zu dem Ergebnis, dass die Benutzer selbst verantwortlich waren.
Wenige Stunden nach dem Start des neuen Streamingdienstes Disney+ am 12. November, gab es bereits mehr als 10.000 gehackte Accounts dafür. Hacker boten diese im Darknet und in Untergrund-Foren zum Preis von knapp 5 bis 11 US-Dollar an. Theorien, wie es dazu kommen konnte, gab es einige. Sie reichten über stattgefundene Hackangriffe, Trojaner, Phishing oder mehrfach genutzte Passwörter. Das Sicherheitsunternehmen Bitdefender untersuchte den Zwischenfall und kam zu eigenen Ergebnissen.
Niemand hat Disney+ gehackt: Schwachstelle sind die Benutzer selbst
Verfügbar ist Disney+ bisher in den USA, Kanada und den Niederlanden. Der neue Dienst hat aber schon mehr als 10 Millionen Kunden angezogen. Viele User gaben an, dass Hacker auf ihre Konten zugegriffen, sie von allen Geräten abgemeldet und anschließend die E-Mail-Adresse und das Kennwort des Kontos geändert haben. Das Konto hat man übernommen und der rechtmäßige Besitzer war gesperrt. Bei Disney+ fanden sich nach eigenen Untersuchungen jedoch keinerlei Anhaltspunkte für einen Hackangriff. Auch ein Sicherheitsleck gab es offenbar nicht. Untersuchungen von Bitdefender zeigten, die wahre Schwachstelle waren unter anderem die Benutzer selbst.
Auf ihrem Blog führt Bitdefender aus:
„Der Streaming-Dienst selbst wurde nicht beeinträchtigt, aber wie in vielen ähnlichen Situationen waren Personen, die ein schwaches Passwort wählten, das schwache Glied. Solche „Hacker“ nehmen vorhandene Online-Zugangsdaten und probieren sie aus. Viele Benutzer verwendeten dieselben Anmeldeinformationen für Disney+ wie für viele andere Dienste, die zuvor gehackt wurden. Da es einen florierenden Markt für durchgesickerte Details von Streaming-Dienstkonten gibt, ist es keine Überraschung, dass diese bereits zum Verkauf angeboten werden.“
Verwendung einer Multi-Faktor-Authentifizierung für mehr Sicherheit
Doch Bitdefender übt nicht nur Kritik an den Nutzern, die für mehr als ein Passwort zu faul sind, sondern auch am Anbieter. Der Mickey Mouse-Konzern trage ganz klar eine Mitschuld an der Misere:
„Neben der Verwendung allgemeiner oder durchgesickerter Kennwörter ist ein weiteres Problem die laxe Sicherheit bei Disney+. Benutzer gaben an, Konten verloren zu haben, weil ihre Kennwörter geändert waren. Dies wäre mit der Multi-Faktor-Authentifizierung (2FA etc.), die derzeit in Disney+ nicht vorhanden ist, sehr viel schwieriger zu erreichen.“
Gebrauch eines starken Passwortes bei Disney+ vermeidet Ärger
„Wenn Sie Ihr Disney + -Konto nicht verlieren möchten, verwenden Sie ein stärkeres Kennwort mit Großbuchstaben, Symbolen und Zahlen, das Sie speziell für diesen Dienst erstellen. In der Tat sollte das Erstellen sicherer und eindeutiger Kennwörter für alle Onlinedienste Standard sein. Damit können Benutzer viele Probleme vermeiden.“
Bogdan Botezatu, Director of Threat Research bei Bitdefender legt dar: „Menschen neigen dazu, bei mehreren Online-Diensten die gleichen Benutzernamen und Passwörter zu verwenden, weil es einfacher ist, sich an sie zu erinnern. Manchmal stehlen Hacker diese Zugangsdaten und die Internetnutzer wissen nichts davon.“ In Folge verwenden User unwissentlich genau diese geleakten Anmeldeinformationen, um ihr neues Konto bei Disney+ zu erstellen. Genauso dürfte es auch hier vielfach passiert sein. Übrigens gibt es nicht nur von Disney+ viele illegale Accounts in diversen Deepweb-Shops. Die geklauten Zugänge der Konkurrenz wie Hulu oder Netflix kosten dort sogar zumeist deutlich weniger.
Foto Skitterphoto, thx!
Tarnkappe.info