迪士尼+帐户黑客事件突出显示需要更多密码安全性
迪士尼于11月12日推出了Disney +,并迅速成为其自身成功的牺牲品,其原因是大量用户在其启动后立即尝试使用该服务而引起的问题。尽管该服务已从用户的大量涌入中恢复过来,并在开放的24小时内已吸引了超过1000万客户,但与安全性相关的另一个问题却浮出水面。ZDNet发现的许多用户抱怨他们无法访问他们的帐户,或者发现有人未经授权访问了他们的帐户。在最坏的情况下,用户发现他们的设备已注销,并且帐户电子邮件和密码已更改,从而完全将其锁定。
然后,迪士尼+的帐户凭据开始出现在黑客论坛上,每个售价在3至11美元之间,并在暗网上出售。这些帐户的价值高得离奇,因为正常的Disney +订阅费用为每月$ 6.99,尽管有些用户为使用时间长于一个月预付了费用,从而增加了其潜在价格。
尽管迪斯尼尚未对此问题进行确认,但问题似乎可能仅来自用户使用的不良密码管理技术。由一个搜索BBC上周一透露超过4000个客户账户,正在一个站点,与许多比极少数卖几十万,将通常被视为一个主要的网站违反的一部分。
可能的情况是,少数受影响的帐户可能是由黑客利用早期违规行为获取电子邮件地址,用户名和密码的列表,并仅尝试登录每组凭据直到一个凭据起作用而造成的。由于许多用户继续在多个场所重复使用相同的组合,因此考虑到可用的原始资料量,以这种方式找到功能帐户的可能性非常高。
AppleInsider和安全专家建议为每个帐户使用唯一的密码,因为一个站点中的一组违反凭据无法用于访问另一个站点,从而最大限度地减少了此类黑客尝试的可能性。一种有效的方法是使用密码管理工具,其中一些提供了代表用户创建并自动填写唯一密码的功能。