Il servizio di streaming Disney+ è partito solo da pochi giorni, disponibile negli Stati Uniti, in Canada e nei Paesi Bassi. Non sono mancati i problemi tecnici, con utenti che da subito si sono lamentati dell’impossibilità di accedere al servizio ma ora c’è un problema ancor più grave: migliaia di username e password di utenti del servizio sono già in vendita online, disponibili a prezzi variabili dai 3$ agli 11$.
Alcuni utenti riferiscono che presunti hacker sarebbero riusciti ad avere accesso ai loro account effettuare il logout da tutti i dispositivi e cambiare email e password associati, prendendo in pratica possesso degli account.
Su Twitter e Reddit vari utenti lamentano il problema. Due utenti hanno riferito al sito ZDNet di avere sfruttato password già sfruttate su altri servizi (una pessima abitudine); altri utenti affermano che invece le loro password erano del tutto nuove, uniche e specifiche per gli account Disney+.
In alcuni casi i cyercriminali potrebbero essere riusciti ad ottenere accesso agli account Disney+ sfruttando semplicemente password di altri archivi rubati con username e password; in altri casi, le credenziali potrebbero essere state ottenute convincendo gli utenti a scaricare e installare applicazioni che in realtà sono app spia con funzionalità di keylogging per effettuare lo “sniffing” delle password.
La velocità con la quale i cybercriminali hanno messo in vendita gli account Disney+ è impressionante: poche ore subito dopo il lancio del servizio. I prezzi, come accennato, variano dai 3$ agli 11$ per account, prezzo quest’ultimo più alto richiesto per l’abbonamento vero e proprio (6,99$ al mese).
Una regola importante è di non riutilizzare mai le stesse password, una debolezza che potrebbe aprire le porte d’accesso a più account, con conseguenze disastrose. Quando possibile, attivate sempre a verifica in due passaggi: molti servizi online permettono di migliorare la sicurezza offrendo la verifica in due passaggi sfruttando la verifica via app o SMS per assicurarsi che la persona che cerca di entrare nell’account sia la persona autorizzata a utilizzarlo.
