Roku a dezvăluit o încălcare a datelor care afectează peste 15.000 de clienți, după ce conturile hackuite au fost folosite pentru a face achiziții frauduloase de hardware și abonamente de streaming.
Cu toate acestea, BleepingComputer a aflat că acest atac are mai multe aspecte, cu actorii de amenințare care vând conturile furate pentru doar 0,50 $ per cont, permițând cumpărătorilor să folosească cardurile de credit stocate pentru a face achiziții ilegale.
Vineri, Roku a dezvăluit inițial încălcarea datelor, avertizând că 15.363 de conturi de clienți au fost hackuite într-un atac de tip credential stuffing.
Un atac de tip credential stuffing apare atunci când actorii de amenințare colectează date de autentificare expuse în încălcările de date și apoi încearcă să le folosească pentru a se conecta la alte site-uri, în acest caz, Roku.com.
Compania afirmă că odată ce un cont a fost compromis, a permis actorilor de amenințare să schimbe informațiile din cont, inclusiv parole, adrese de email și de livrare.
Acest lucru a blocat efectiv un utilizator din cont, permițând actorilor de amenințare să facă achiziții folosind informațiile stocate pe cardul de credit fără ca titularul legitim al contului să primească emailuri de confirmare a comenzilor.
„Se pare că aceleași combinații de nume de utilizator/parolă au fost folosite ca informații de autentificare pentru serviciile terțe, precum și pentru anumite conturi individuale Roku”, se arată în notificarea despre încălcarea datelor.
„Ca rezultat, actorii neautorizați au putut obține informații de autentificare de la surse terțe și apoi să le folosească pentru a accesa anumite conturi individuale Roku”.
„După ce au obținut accesul, au schimbat apoi informațiile de autentificare Roku pentru conturile individuale Roku afectate și, într-un număr limitat de cazuri, au încercat să achiziționeze abonamente de streaming”.
Roku spune că a securizat conturile afectate și a forțat o resetare a parolei la detectarea incidentului.
În plus, echipa de securitate a platformei a investigat orice taxe datorate achizițiilor neautorizate efectuate de hackeri și a luat măsuri pentru a anula abonamentele relevante și pentru a rambursa deținătorii de conturi.
Deținătorii legitimi de conturi care au fost deturnați trebuie să viziteze „my.roku.com” și să facă clic pe „Ai uitat parola?” pentru a primi un link de resetare pe emailul lor.
După accesarea contului, accesați tabloul de bord Roku și verificați activitatea, dispozitivele conectate și abonamentele active pentru a vă asigura că totul este legitim.
În mod lamentabil, Roku nu suportă autentificarea în doi pași, ceea ce previne deturnările chiar și în cazul compromiterii datelor de autentificare.
Roku este o companie de conținut media digital și de streaming care oferă stick-uri și cutii de streaming, kituri de automatizare a casei, bare de sunet, benzi luminoase și televizoare care rulează propriul lor sistem de operare specializat, permițând utilizatorilor să acceseze servicii precum Netflix, Hulu și Amazon Prime Video.
Pentru a genera venituri, Roku permite, de asemenea, clienților să achiziționeze abonamente de streaming direct prin contul lor Roku. Acest lucru le permite clienților să-și gestioneze toate serviciile de streaming printr-un singur cont.
Cu toate acestea, atunci când adaugă un abonament, Roku stochează informațiile despre cardul de credit al clienților în conturile lor online astfel încât acestea să poată fi folosite ușor pentru achiziții viitoare.
BleepingComputer a aflat că numeroși actori de amenințare desfășoară atacuri de tip credential stuffing folosind instrumentele de spargere Open Bullet 2 sau SilverBullet.
Aceste programe vă permit să importați configurații personalizate (fișiere de configurare) create pentru a efectua atacuri de tip credential stuffing împotriva anumitor site-uri web, cum ar fi Netflix, Steam, Chick-fil-A și Roku.
Un cercetător a declarat pentru BleepingComputer săptămâna trecută că actorii de amenințare au folosit o configurație Roku pentru a efectua atacuri de tip credential stuffing de luni de zile, evitând protecțiile împotriva atacurilor de forță brută și captchas prin utilizarea de URL-uri specifice și rotirea prin liste de servere proxy.
Conturile hackuite cu succes sunt apoi vândute pe piețele de conturi furate pentru doar 50 de cenți, așa cum se vede mai jos unde sunt vândute 439 de conturi.
Vânzătorul acestor conturi oferă informații despre cum să schimbe informațiile din cont pentru a face achiziții frauduloase.
Cei care cumpără conturile furate le deturnează cu propriile lor informații și folosesc cardurile de credit stocate pentru a achiziționa camere, telecomenzi, bare de sunet, benzi luminoase și cutii de streaming.
După ce își fac achizițiile, este obișnuit să împărtășească capturi de ecran ale emailurilor de confirmare a comenzilor cenzurate pe canalele Telegram asociate cu piețele de conturi furate.
Recent, Roku a fost criticat pentru faptul că a făcut modificări la „Termenii de soluționare a disputelor” și împiedicând clienții să folosească dispozitivele lor de streaming până când nu sunt de acord cu aceștia.
Acești termeni noi obligă clienții să rezolve mai întâi orice reclamații printr-o convorbire în persoană, telefonic sau video cu reprezentanții legali ai companiei înainte ca o cerere să fie depusă în arbitraj.
Cu toate acestea, după cum se arată în imaginea de mai sus, nu există nicio modalitate de a continua să folosești un dispozitiv de streaming Roku fără a fi de acord mai întâi cu termenii.
O sursă a declarat pentru BleepingComputer că noii Termeni de soluționare a disputelor sunt parțial legați de atacurile continue de tip credential stuffing și de fraudă financiară efectuate prin conturile hackuite.
BleepingComputer a contactat Roku în weekend pentru a afla mai multe despre atacuri și actualizarea termenilor săi în legătură cu acestea, dar nu a primit un răspuns.
PetSmart avertizează cu privire la atacurile de tip credential stuffing care încearcă să hackuiască conturile
Peste 5.300 de servere GitLab expuse la atacuri de preluare a contului fără clic
GitLab avertizează cu privire la o vulnerabilitate critică de preluare a contului fără clic
Banda Savvy Seahorse folosește înregistrările DNS CNAME pentru a alimenta schemele de investiții frauduloase
PayPal depune patent pentru un nou mod de detectare a cookie-urilor furate
Leave a Reply