Duizenden abonnees van de nieuwe streamingdienst Disney+ zijn het slachtoffer geworden van hacking. De gestolen accounts werden op het darknet aangeboden voor amper drie dollar, terwijl je voor een legitiem Disney+-abonnement zeven dollar per maand betaalt. Van een datalek zou echter geen sprake zijn.
Disney+ zag een week geleden het levenslicht in de Verenigde Staten en Canada en in Nederland als Europese test. In de eerste 24 uur wist de nieuwe streamingdienst maar liefst 10 miljoen abonnees te strikken, maar da’s nog klein bier vergeleken met de 150 miljoen abonnees van Netflix.
Naast Disney-klassiekers biedt de streamingdienst films en series van Pixar, Marvel, Star Wars en 21st Century Fox aan, dus ook de cultserie The Simpsons. Toch blijkt dat heel wat films en series op het platform een vervaldatum hebben.
Geen hulp van Disney
Terwijl duizenden abonnees hun favoriete reeksen en films wilden bingewatchen, ontvreemden hackers hun gegevens. Daardoor kreeg een deel van hen geen toegang meer tot hun eigen account. Volgens de techsite ZDNet kregen ze zelfs geen assistentie van Disney.
De gestolen accounts werden op het darknet aangeboden voor prijzen tussen de drie en elf dollar. Vaak is er een creditcard verbonden aan de accounts. Op die manier kunnen de malafide verkopers gemakkelijk een jaarabonnement strikken en daarna doorverkopen.
Geen datalek maar louche database
Toch is er geen sprake van een datalek, maar lijkt het erop dat de hackers toegang kregen tot de accounts door de e-mailadressen en wachtwoorden te matchen. Een aantal gebruikers van ‘gehackte’ accounts gaf aan ZDNet toe dezelfde e-mailadressen en wachtwoorden te gebruiken op andere websites. Dat maakt het voor cybercriminelen gemakkelijker om hun identiteit te stelen.
De jongste jaren werden miljoenen van die wachtwoord-email-combinaties gekraakt. Hierdoor moeten hackers enkel uitproberen of een bepaalde combinatie werkt als login. Techexperten raden dan ook iedereen aan om bij elke website een ander wachtwoord te gebruiken, zeker als het om betalende diensten gaat.
Geen tweestapsverificatie op Disney+
Op 31 maart wordt Disney+ ook in andere Europese landen gelanceerd. Of de release op dat moment ook in ons land plaatsvindt, is nog niet geweten.
Disney+ beschikt nog niet over de beveiligingsfunctie ’tweestapsverificatie’, die tegenwoordig steeds vaker toegepast wordt door online diensten. Daarbij moet een gebruikers een unieke code invullen bij het inloggen op een nieuw toestel.