Входите, открыто!
На прошлой неделе Disney запустил свой стриминговый сервис – Disney+, а спустя всего пару дней в продаже в даркнете появилось несколько тысяч аккаунтов пользователей сервиса.
Взломанные аккаунты продают примерно по 3-5 долларов за штуку. Это существенно дороже продаваемых по соседству учеток того же Netflix и скорее всего объясняется повышенным интересом к сервису на волне его громкого запуска.
Думаете, что пароли собирали при помощи фишинговых сайтов, троянов-стилеров или вовсе взломали стриминговый сервис? Все гораздо проще.
Многие пользователи нового видеосервиса использовали при регистрации привычные им старые пароли, попавшие в базы публичных утечек информации. Таким образом, учетки оказались скомпрометированы уже по факту их создания. Злоумышленникам оставалось лишь взять из какой-нибудь базы адреса электронной почты и пароли и «прочекать» их на предмет входа в Disney+.
К слову, давным-давно, в начале 2000-х, когда люди еще активно пользовались аськой, автор канала провел эксперимент: взял выборку из нескольких сотен шестизначных номеров и проверил их по схеме «логин равен паролю». Даже такая простая атака сработала примерно в 6% случаев.
@In4security
На прошлой неделе Disney запустил свой стриминговый сервис – Disney+, а спустя всего пару дней в продаже в даркнете появилось несколько тысяч аккаунтов пользователей сервиса.
Взломанные аккаунты продают примерно по 3-5 долларов за штуку. Это существенно дороже продаваемых по соседству учеток того же Netflix и скорее всего объясняется повышенным интересом к сервису на волне его громкого запуска.
Думаете, что пароли собирали при помощи фишинговых сайтов, троянов-стилеров или вовсе взломали стриминговый сервис? Все гораздо проще.
Многие пользователи нового видеосервиса использовали при регистрации привычные им старые пароли, попавшие в базы публичных утечек информации. Таким образом, учетки оказались скомпрометированы уже по факту их создания. Злоумышленникам оставалось лишь взять из какой-нибудь базы адреса электронной почты и пароли и «прочекать» их на предмет входа в Disney+.
К слову, давным-давно, в начале 2000-х, когда люди еще активно пользовались аськой, автор канала провел эксперимент: взял выборку из нескольких сотен шестизначных номеров и проверил их по схеме «логин равен паролю». Даже такая простая атака сработала примерно в 6% случаев.
@In4security