Tras una semana en funcionamiento desde su lanzamiento, Disney+ tiene ya su primer problema. Y ojo porque es uno de los gordos. Cientos de cuentas han sido hackeadas por atacantes que se han dedicado a regalar las cuentas o, en el peor de lo casos, a revenderlas en foros especializados de hacking.
¿Cómo han hackeado las cuentas de Disney+?
El método utilizado por los hackers para hacerse con las cuentas ha sido más sencillo de lo que podrías esperar. En lugar de atacar la plataforma, lo que han hecho es utilizar cuentas y contraseñas que ya estaban disponibles en internet. Y es que, existen muchas listas de cuentas filtradas a partir de otros muchos servicios que han sufrido vulnerabilidades, y como muchos usuarios utilizan la misma contraseña para todo, pues no hay mucho más que hacer.
Con sólo disponer de una de las muchas listas con contraseñas filtradas que existen por la red, los hackers sólo han tenido que ir probando las cuentas hasta dar con las que surtían efecto. Una vez dentro de la cuenta, sólo había que cambiar la contraseña en el panel de gestión del usuario y listo. Esto provocó que todos aquellos usuarios con la contraseña cambiada recibieran un correo electrónico informando al respecto, algo que no hizo más que saltar la voz de alarma entre los usuarios.
DISNEY+ HAS BEEN OPEN FOR LIKE 10 HOURS AND MY ACCOUNT HAS ALREADY BEEN HACKED pic.twitter.com/YBv6CfwTlh
— brandon ʕ·ᴥ·ʔ (@brandoncult) 12 de noviembre de 2019
#distwitter has anyone’s @disneyplus account been hacked? My friend’s was; hackers changed email and password. Now she’s completely blocked from her 3-year prepaid Disney+ account. She’s been on hold for >2 hours
— cat+dog=happyhome (@Travel4vr) 12 de noviembre de 2019
¿Quién tiene la culpa?
Por un lado, los usuarios deberían de mentalizase de utilizar un administrador de contraseñas que les permitiera crear passwords diferentes para cada servicio. Esto te podrá parecer una locura y un cacao mental si eres de los que sigue anotando la contraseña a mano en su libreta personal, pero en realidad este tipo de programas se encargan de todo y son tremendamente fáciles de usar. Incluso Google Chrome se encarga de generar contraseñas aleatorias para cada registro que completes.
Por otro lado, Disney también tiene cierta culpa en este grave problema, ya que Disney+ no cuenta con ningún tipo de protección de autentificación multifactor que permita a los usuarios disfrutar de una segunda barrera de protección ante un atacante. Con un simple SMS, un email o una notificación móvil el usuario podría garantizar que es la persona que está iniciando sesión, por lo que problemas como este de las cuentas filtradas se podría solucionar de inmediato.