Nog geen week na de officiële lancering van het platform is er op het internet al een levendige handel ontstaan in gekraakte accounts van het videoplatform Disney+. Op verschillende fora worden de accountgegevens te koop aangeboden.

Op dinsdag 12 november vond de officiële release van Disney+ plaats in Nederland, Canada en de Verenigde Staten. Helaas duurde het niet lang voordat de eerste problemen ontstonden: op verschillende sites wordt door vele duizenden gebruikers geklaagd over gehackte, overgenomen accounts. Al enkele uren na de lancering begonnen cybercriminelen met hun pogingen om accounts te kraken.

Volgens techwebsite ZDNet worden de gehackte accounts voor bedragen tussen de 3 en 11 dollar te koop aangeboden, en in sommige gevallen zelfs geheel kosteloos. In veel gevallen is het account gekoppeld aan een creditcard, wat het voor cybercriminelen interessant maakt om op andermans gegevens een jaarabonnement af te sluiten om deze door te verkopen.

Geen nieuw datalek

Je zou wellicht verwachten dat de accountgegevens zijn buitgemaakt door een nieuw datalek bij de dienst, maar dat is niet het geval. De hackers maken hoofdzakelijk gebruik van reeds eerder gelekte mailadressen en wachtwoorden: door simpelweg combinaties van gelekte e-mailadressen met wachtwoorden uit te proberen, is het op een zeker ogenblik wel een keertje raak. Overigens is dat niet per se handwerk: een beetje hacker kan namelijk gewoon een script schrijven om dit proces grotendeels geautomatiseerd te laten verlopen, dus het is niet zo dat iemand zichzelf op een zolderkamertje een RSI bezorgt door handmatig duizenden mailadressen in te voeren. 

Voor een groot aantal gedupeerden geldt dat hackers zich toegang tot de accounts hebben weten te verschaffen om de doodeenvoudige reden dat bepaalde combinaties van gebruikersnamen en wachtwoorden ook al eens op een andere website zijn gebruikt. Op websites als Have I Been Pwned en Scattered Secrets kun je controleren of jouw e-mailadres - en in het geval van laatstgenoemde ook je wachtwoord - ooit eens is buitgemaakt bij een datalek. Is dat het geval? Dan kunnen wij aanraden om goed na te gaan waar je nog meer met deze gegevens inlogt, zodat je hier de noodzakelijke wijzigingen kunt aanbrengen. 

Tweestapsverificatie

Een mogelijke oplossing zou zijn om tweestapsverificatie in te voeren. Dit is momenteel niet het geval. Zou dat wel geïmplementeerd worden, dan dient er een extra controle plaats te vinden voordat je daadwerkelijk toegang krijgt tot je account. Vaak is dat in de vorm van een sms-bericht met een unieke code die slechts beperkte tijd geldig is. Dat is natuurlijk een extra stap, maar komt de veiligheid van jouw data wel ten goede, zeker als er creditcardinformatie mee gemoeid is.

Bron: AD.nl / ZDNet