רק הושק וכבר אלפי חשבונות +Disney נפרצו ומוצעים למכירה ברשת

לא רק מעריצי דיסני חיכו להשקה של דיסני+, אלא גם האקרים שהשתלטו מיד על אלפי חשבונות ומכרו אותם

צילום מסך: גיקטיים

אחרי לא מעט המתנה, שירות הסטרימינג של דיסני, +Disney, הושק בארצות הברית ובקנדה, ונראה שהקהל חיכה לו בקוצר רוח לאחר ש-10 מיליון לקוחות נרשמו אליו ב-24 השעות הראשונות לחייו. אולם, לא רק קהל המעריצים של דיסני, מארוול וסטאר וורס חיכה לשירות, אלא גם האקרים, שעושים כאב ראש לא קטן לדיסני וללקוחות שלה.

אלפי חשבונות כבר מוצעים למכירה במחירים נמוכים


על פי הדיווח של ZDNet, רק שעות ספורות לאחר עליית דיסני+ לאוויר, משתמשים רבים החלו להתלונן ברשתות החברתיות כי הם קיבלו התראה במייל על שינוי סיסמתם ואף שינוי האימייל המקושר לחשבון שהם יצרו זה עתה, וחלקם גילו בהפתעה כי הם פשוט ננעלו מחוץ לחשבון. התופעה הלכה והתרחבה ככל שעברו הימים, וכעת מעריכים באתר כי אלפי חשבונות כבר הספיקו להיפרץ.


אנחנו כבר השתמשנו בדיסני+, וזה מה שחשבנו עליו


במקרים קיצוניים מדובר בחשבונות של לקוחות אשר שילמו מראש על מינוי למשך לא פחות מ-3 שנים. לפי הטענות אשר עלו ברשתות החברתיות, שירות הלקוחות של דיסני+ לא עומד בעומסי הפניות, ולקוחות ממתינים לעיתים יותר משעתיים על הקו למענה. החשבונות אשר נפרצו הוצעו למכירה שעות ספורות לאחר עליית השירות לאוויר במחירים נמוכים של בין 3-11 דולר, ככל הנראה גם לחשבונות משולבים עם Hulu ו-ESPN. בין היתר אף הוצעו חשבונות בחינם לחלוקה בין האקרים בדארקנט.

חלק מהמשתמשים שחשבונותיהם נפרצו הודו כי הם השתמשו בסיסמה אשר נעשה בה שימוש בעבר, מה שכמובן מעיד על כך שההאקרים פשוט חיכו שהם ישתמשו בה שוב לאחר שדלפה בעבר. עם זאת, חלקם טוענים כי השתמשו בסיסמה ייחודית, מה שעשוי להעיד על כך שעל המחשב שלהם המתין כלי זדוני כלשהו שעקב אחרי נתוני ההקלדות שלהם, או מעיד על שימוש במתקפת Brute-Force שיתכן ולדיסני אין מנגנון ראוי נגדה.

מעכשיו גיקטיים גם בטלגרם מעכשיו גיקטיים גם בטלגרם להצטרפות לערוץ הטלגרם שלנו לחץ כאן

ZDNet פנה לדיסני לתגובה, ככל הנראה כדי לנסות להבין מדוע דיסני לא משתמשת במנגנון אימות דו-שלבי שהיה מונע השתלטויות רבות על חשבונות, אך לא קיבל מענה. נקווה שעד ההשקה המיוחלת בישראל, דיסני תאמץ מנגנוני אבטחה ראויים כדי להגן על החשבונות של המשתמשים. בפעם הבאה שאתם רואים חשבון נטפליקס, ספוטיפיי או כל שירות אחר שמוצע במחיר יותר מדי מוזל ברחבי הרשת, קחו בחשבון שיכול להיות שמדובר במינוי שנגנב.


צפינו בסדרת הדגל של דיסני+, ״המנדלוריאן״

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

14 תגובות על "רק הושק וכבר אלפי חשבונות +Disney נפרצו ומוצעים למכירה ברשת"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אביחי
Guest

די לכתוב “מינוי”!

זה “מנוי”, לא “מינוי”.

מינוי זה של אדם לתפקיד.
מנוי זה subscription.

פֿאַרשטיין?

די להיות דקדקן
Guest
די להיות דקדקן

כל עוד מבינים למה הכוונה למי אכפת? ואם כל עם ישראל ואשתו קורא לזה מינוי אז נחש מה, זה מינוי, את הדקדוק תשאיר למבחנים ולמשועממים מהאקדמיה ללשון. קפיש :)

אבשלום קור
Guest

חחחח איזה תגובה של אפס.
אתה בטח גם רושם כע, לע ואנלודע בהודעות שלך….

אבשלום הפולני
Guest

ואם אני רושם ומבינים למי בדיוק אכפת? פתאום שאתה מגיע לדקדוק אתה הופך לחרדי קיצוני שלא סר מתורת הדקדוק ימין ושמאל? אתה גלגלול של אליעזר בן יהודה? האנשים האלו שמתקנים לכולם את הדקדוק יש להם גם מילה בעברית, קרציה.

אביחי
Guest

* כשאתה
* גלגול

ואלמלא היינו מתקנים לאנשים את העברית, הם היו ממשיכים לכתוב “ש” במקום “כש” (אהמממ), “שתי שקל”, “חמידות”, “שולטטטתתת!!!1” ועוד.

צריך לתקן.

בפרט כשהטעות היא בגוף הכתבה ולא בטוקבק. זה מביך.

אבשלום קור
Guest

חחחח הרגת אותי עם השולטתתתתת!!!111

אבשלום קור
Guest

עטא צודכ הכי. קול אוד מווינים מא עתה רוצא לאגיד עז הקול תוב…

ASD
Guest

אני מנחש שלא פרצו לדיסני אלא לחשבונות.

כשמילוני אנשים נרשמים לשירות, וסביר שאלו משתמשים תמימים ולא טקיים – קל לראות איך חלק מהם קיבלו לינק ״שחזור סיסמא״ מזוייף שביקש מהם להזין סיסמא ואימייל.

אם האקרים אכן היו נכנסים לשרתים של דיסני, אז היו דולפים החוצה מליוני סיסמאות וחשבונות. במקרה כזה דיסני היתה מאפסת את הכל ומזכה את כולם על החודש בתשלום הראשון.

כרובי
Guest

לא בהכרח. יש מקרים בהם יש לתוקף גישה לשרת אך הוא עדיין משיג רק נתונים חלקיים. לדוגמא, אם השרת שנפרץ מכיל רק חתך לקוחות ספציפי, או אם החשבונות שניתן לפרוץ הם רק כאלה עם מאפיין מסויים (למשל כל מי שעדכן תמונה).
יש עוד הרבה דוגמאות דומות.

בצל +
Guest

זה מה שקורה שלוחצים על שחרור מוצר שהוא לא מוכן.
כנראה שתהליך QA נורמלי היה עולה על הבעיות האלה.
או שאפילו יותר גרוע, הם ידעו על זה, שמו את זה בto do list שלהם אבל עדיין לא ביצעו ובכל זאת שחררו את המוצר ככה.

כרובי
Guest

ככלל אצבע אף תהליך בעולם לא יעלה על כל החולשות, תמיד יהיו דרכים לתקוף בלי קשר לכמה נורמלי תהליך הQA.

בצל +
Guest

אתה צודק אבל יש באגים או תקלות במוצר קריטיות ויש כאלה פחות קריטיות.
מה שקרה פה זה כנראה מנגנון שחזור סיסמא שבור שמאפשר לכל אחד לבקש שחזור סיסמה לחשבון שהוא לא שלו.

הייתי אומר שזה באג די קריטי וחייב תיקון לפני שחרור לפרודקשן…

wpDiscuz

תגיות לכתבה: