Disney表示,已在地下駭客論壇上販售的Disney+帳戶密碼,是來自11月12日這項串流媒體服務平台推出之前,其它公司早就發生的外洩行為。
該公司週三(11/20)重申,沒有發現任何安全漏洞的證據,並且帳戶問題僅限於Disney+的「一小部分用戶」。新聞網站ZDNet在地下駭客論壇上發現了被盜的帳戶用戶名和密碼,售價為$3,而Disney+的月費為$7,年費也才$70。
儘管安全專家警告過了,但用戶還是經常在多個服務上用重複密碼,這意味著在其中一個服務上的一個漏洞,幫駭客打開訪問其它服務的大門。主持幫用戶警告辨識資訊被偷的網站“Have I Been Pwned?”,澳洲安全研究人員Troy Hunt指出,只要在每個服務設定不同的強大密碼,用戶就可以避免這種事情發生。
但Hunt說Disney應該部署更好的安全措施,他在電郵中寫道:「Disney的情況似乎是另一種憑證填充攻擊,駭客利用這些客戶重複使用的密碼,而服務供應商又沒能提供足夠的防禦措施來阻止。」
