IPTV Streamingdienst: Tausende Disney+-Konten werden in Untergrundforen gehandelt

Möglicherweise hat Disney+ ein Problem: Kurz nach dem Start des Dienstes werden Zugangsdaten von tausenden Benutzerkonten in Untergrundforen zum Kauf angeboten.

Disneys am 12. November gestarteter Streamingdienst Disney+ legt einen holperigen Start hin: Neben technischen Problemen gibt es Berichte über im Internet kursierende Zugangsdaten von Benutzern. Eine Reihe von Benutzern mussten feststellen, dass ihre Zugangsdaten für die Disney+-Benutzerkonten geändert wurden und sie keinen Zugriff mehr auf den Dienst erhalten.



Zugangsdaten ab 3 Dollar angeboten
Andere Nutzer bemerkten, dass plötzlich fremde Inhalte im Verlauf der angeschauten Videos aufgelistet werden.

https://twitter.com/x/status/1195474484917989376

Einige Nutzer äußerten die Vermutung, dass ihre Konten gehackt worden seien. Auf Twitter und Reddit finden sich entsprechende Meldungen.

https://twitter.com/x/status/1195427748057174017

Inzwischen werden Zugangsdaten für Tausende von Disney+-Benutzerkonten zum Preis von 3 bis 11 US-Dollar in Untergrundforen angeboten, wie ZDnet herausgefunden hat.

Sorglose Nutzer, Trojaner oder Hack?

Aktuell ist noch unklar, wie die Zugangsdaten der Disney+-Benutzerkonten in die Hände Unbefugter gelangen konnten. Ein Hack des Disney+-Dienstes ist eher unwahrscheinlich, da bei einem Abonnentenbestand von mehr als 10 Millionen nur wenige Tausend Konten betroffen sind.

Möglicherweise wurden einige Zugangsdaten für Konten durch Sorglosigkeit verbreitet. Denn Disney+ erlaubt bis zu sieben Profile und bis zu 10 Geräte zum Abrufen der Inhalte. Manche Nutzer machen sich daher einen Spaß und teilen ihren Zugang mit Anderen, um sich dann in den Profilen anzuschauen, was diese Personen so ansehen. Das erklärt aber nicht, warum die Zugangsdaten für tausende Konten geändert und die Daten in Untergrundforen gehandelt werden.

Zudem hatte ZDnet Kontakt mit zwei von einem Hack Betroffenen, die versicherten, den Zugang nicht mit Dritten geteilt und nach den Empfehlungen des Anbieters ein eigenes Kennwort für den Disney+-Zugang benutzt zu haben. Momentan gehen die Spekulationen eher dahin, dass die Konten per Brute-Force-Angriff durch Verwendung von Zugangsdaten, die aus früheren Datenlecks stammen, geknackt worden sein könnten. Eine andere Möglichkeit wäre, dass die Zugangsdaten über einen Trojaner oder eine Phishing-Seite abgegriffen wurden. Damit bleibt auch Disney die Erfahrung nicht erspart, die bereits andere Online-Dienste mit Kontenmissbrauch und gehackten Konten machen mussten.

Am 12. November 2019 war der Flatrate-Videostreamingdienst Disney+ in den USA, Kanada und als Preview in den Niederlanden gestartet. Dort wird der Zugang für 70 Euro pro Jahr beworben. 2020 soll es dann mit Disney+ in weiteren Ländern weitergehen, darunter auch in Deutschland.

Holperiger Start
Der Dienst konnte binnen weniger Stunden nach dem Start mehr als 10 Millionen Abonnenten verzeichnen – teilweise wohl auch auf Grund massiver Werbeaktionen in den USA, wo ein Jahreszugang für Kunden bestimmter Internetprovider wie Verizon gratis ist.

Allerdings wurde der Dienst gleich zum Start durch technische Probleme geplagt, denn viele Benutzer berichteten, dass sie ihre Lieblingsfilme und -sendungen nicht streamen konnten. Der Support des Anbieters scheint auch überlastet zu sein, wie wütende Reaktion der Benutzer auf Twitter belegen.

https://twitter.com/x/status/1195420433836888069

Benutzer geblockter Konten werden zudem mit kryptischen Fehlermeldungen abgespeist.

https://twitter.com/x/status/1195165992306917381

Quelle; heise

 

[josef.13]

Disney+: Betreiber will keine Verantwortung für Account-Klau tragen

Der Medienkonzern Disney hat sich in der Vorbereitung seines eigenen Streaming-Dienstes wohl mit allen möglichen Dingen befasst, nur nicht darauf, wie man professionell mit Sicherheits-Problemen umgeht. Das zeigen die Reaktionen auf gekaperte User-Accounts.

Schon kurz nach dem Start des Services konnte man auf einschlägigen Darknet-Plattformen Zugangsdaten zu tausenden Accounts bekommen, die den regulären Nutzern schlicht abgenommen wurden. Die neuen Kunden des Unternehmens warteten andererseits teils Stunden in Telefon-Warteschleifen oder Chats, bis der Kundendienst Zeit hatte, sich ihres Problems anzunehmen und die Zugangsdaten zurückzusetzen.

Schuld will man an der ganzen Situation aber auf keinen Fall gewesen sein. "Disney nimmt den Datenschutz und die Sicherheit der Nutzerdaten sehr ernst, es gibt aber keinen Hinweis auf ein Sicherheits-Leck bei Disney+", erklärte ein Konzernsprecher gegenüber der britischen BBC. Das würde bedeuten, dass die Account-Daten von anderswo stammen müssten - was möglich, aber auch relativ unwahrscheinlich ist.

2FA wird nicht angeboten
So konnte man im Darknet Zugangsdaten ab 3 Dollar erwerben und den Dienst so mit einem fremden Konto günstiger nutzen als mit einem eigenen Abo, das immerhin rund 7 Dollar im Monat kostet. Da viele User ihre Kombinationen von E-Mail-Adressen und Passwörtern auch bei anderen Diensten im Netz verwenden, könnte der Ursprung natürlich anderswo liegen. Das würde aber bedeuten, dass hier gezielt und in extrem kurzer Zeit die Bestände von anderen Plattformen mit genau dem neu eröffneten Service abgeglichen wurden - und das binnen Stunden nach dem Start.

Allerdings gab es durchaus auch verschiedene User, die extra darauf hinwiesen, dass sie für Disney+ ein komplett einzigartiges Passwort genutzt haben. Doch selbst wenn die Quelle der Informationen anderswo ist, hätte so etwas nicht passieren dürfen. Inzwischen ist es Standard, das zumindest beim ersten Login von einem bis dahin unbekannten Gerät eine Zwei-Faktor-Authentifizierung durchgeführt wird. Ein solches Sicherheitsmerkmal sucht man bei dem neuen Streaming-Angebot aber vergebens.

Quelle; Winfuture

 

[josef.13]

Disney trägt Mitschuld an den vielen gehackten Accounts für Disney+

Wenige Stunden nach dem Start des neuen Streamingdienstes Disney+ am 12. November, gab es bereits mehr als 10.000 gehackte Accounts dafür. Hacker boten diese im Darknet und in Untergrund-Foren zum Preis von knapp 5 bis 11 US-Dollar an. Theorien, wie es dazu kommen konnte, gab es einige. Sie reichten über stattgefundene Hackangriffe, Trojaner, Phishing oder mehrfach genutzte Passwörter. Das Sicherheitsunternehmen Bitdefender untersuchte den Zwischenfall und kam zu eigenen Ergebnissen.

Disney+ wurde nicht gehackt: Schwachstelle sind die Benutzer selbst

Verfügbar ist Disney+ bisher in den USA, Kanada und den Niederlanden. Der neue Dienst hat aber schon mehr als 10 Millionen Kunden angezogen. Viele User gaben an, dass Hacker auf ihre Konten zugegriffen, sie von allen Geräten abgemeldet und anschließend die E-Mail-Adresse und das Kennwort des Kontos geändert haben. Das Konto hat man übernommen und der rechtmäßige Besitzer war gesperrt. Bei Disney+ fanden sich nach eigenen Untersuchungen jedoch keinerlei Anhaltspunkte für einen Hackangriff. Auch ein Sicherheitsleck gab es offenbar nicht. Untersuchungen von Bitdefender zeigten, die wahre Schwachstelle waren unter anderem die Benutzer selbst.

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

Auf ihrem Blog führt Bitdefender aus:

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Verwendung einer Multi-Faktor-Authentifizierung für mehr Sicherheit

Doch Bitdefender übt nicht nur Kritik an den Nutzern, die für mehr als ein Passwort zu faul sind, sondern auch am Anbieter. Der Mickey Mouse-Konzern trage ganz klar eine Mitschuld an der Misere:

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Gebrauch eines starken Passwortes vermeidet Ärger

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Quelle; tarnkappe