Csupán néhány napja, hogy elindult a Disney+, az újabb streamingszolgáltató, melynek csomagjaira rövid idő alatt tízmillióan fizettek elő. A Disney tehát jó lóra tett, amikor úgy döntött, hogy a Netflix és az Apple mintájára saját platformra tereli a műsorait – legalábbis a dolgok pénzügyi részét nézve.

Az igazsághoz ugyanis hozzátartozik, hogy a Disney+ az első napján elhasalt, mert a szerverek nem bírták az óriási hullámban érkező felhasználói kéréseket. Ezzel azonban nincs vége a kellemetlenségeknek, sokan ugyanis azt állítják: a technikai leállás idején meghekkelték őket, adataik pedig illetéktelen kezekbe kerültek.

A ZDNet azt is kinyomozta, hogy az előfizetői információk nem egy adatbázisba vándoroltak, már a dark webre és különféle hackerfórumokra feltöltve árusítják azokat ismeretlenek. A csomagokat a rendes havidíjnál lényegesen olcsóbban adják/veszik, van, amelyikért mindössze 3 dollárt kérnek (kb. 900 forint), de a hosszabb ideig érvényesek ennél többe kerülnek.

So not only does this suck but it also goes towards something I was noticing with Disney+ the security seems from the same era as the first lion king film. That is to say lacking. If your account was hacked there is next to no way to log everyone out. https://t.co/I4YqpgMZXL

— KurtzOperations (@KurtzOperations) 2019. november 17.

Az ügy a BBC figyelmét is felkeltette, amely egy kiberbiztonsági szakértőt fogadva szintén nyomozásba kezdett. Az eredmény ugyanaz: a dark weben árusított sokezernyi fiókra bukkantak ők is. A történteket az érintett felhasználóknál bekövetkezett jelszóváltás is igazolja, miután ugyanis a fiókokat feltörték, a vonatkozó információkat azonnal megváltoztatták. Az e-mail-címet viszont nem tudták, így az előfizetéshez linkelt postafiókra mindig megérkezett a jelzés, hogy valaki éppen módosít a hozzáféréseken.

A meglopott felhasználók állítják, egyedi jelszavakat használtak fiókjaikhoz, ám a CyberInt szakértője, Jason Hill szerint ez nem teljesen igaz. Ő úgy véli: a fiókokat azért volt könnyű meghekkelni, mert az ügyfelek ugyanazokat a jelszavakat használták, mint más szolgáltatásokhoz vagy oldalakhoz. Ha azokon valaha is történt biztonsági incidens, úgy a hackernek sem kell erőlködnie, elég beírnia a korábban azonosított jelszót.

Hill ugyanakkor arra is felhívta a figyelmet, hogy a Disney nem alkalmaz kétfaktoros hitelesítést, ami súlyos probléma.

A cég egyelőre nem kommentálta az esetet. Több felhasználó megpróbált kapcsolatba lépni a Disney ügyfélszolgálatával, ahol ezután arra kérték őket, várjanak, míg megnézik, mi történhetett. Sokakat azonban nem hívtak vissza, de olyan is akadt, aki órákon keresztül nem jutott ügyintézőhöz.

A Disney+ egyelőre három helyen, az Egyesült Államokban, Kanadában és Hollandiában működik. Azt nem tudni, hány fiókot törtek fel.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.