Roku a révélé une violation de données affectant plus de 15 000 clients après que des comptes piratés ont été utilisés pour effectuer des achats frauduleux de matériel et d’abonnements de streaming.
Cependant, Breachtrace a appris qu’il y avait plus à cette attaque, les acteurs de la menace vendant les comptes volés pour aussi peu que 0,50 USD par compte, permettant aux acheteurs d’utiliser des cartes de crédit stockées pour effectuer des achats illégaux.
Vendredi, Roku a d’abord divulgué la violation de données, avertissant que 15 363 comptes clients avaient été piratés lors d’une attaque de bourrage d’informations d’identification.
Une attaque de bourrage d’informations d’identification se produit lorsque des acteurs de la menace collectent des informations d’identification exposées dans des violations de données, puis tentent de les utiliser pour se connecter à d’autres sites, dans ce cas, Roku.com.
La société affirme qu’une fois qu’un compte a été piraté, cela a permis aux acteurs de la menace de modifier les informations sur le compte, y compris les mots de passe, les adresses e-mail et les adresses de livraison.
Cela a effectivement exclu un utilisateur du compte, permettant aux acteurs de la menace d’effectuer des achats en utilisant les informations de carte de crédit stockées sans que le titulaire légitime du compte reçoive des courriels de confirmation de commande.
« Il semble probable que les mêmes combinaisons nom d’utilisateur/mot de passe aient été utilisées comme informations de connexion pour ces services tiers ainsi que pour certains comptes Roku individuels », lit-on dans l’avis de violation de données.
« En conséquence, des acteurs non autorisés ont pu obtenir des informations de connexion auprès de sources tierces, puis les utiliser pour accéder à certains comptes Roku individuels. »
« Après avoir obtenu l’accès, ils ont ensuite modifié les informations de connexion Roku pour les comptes Roku individuels concernés et, dans un nombre limité de cas, ont tenté d’acheter des abonnements de streaming.
Roku dit qu’il a sécurisé les comptes concernés et forcé une réinitialisation du mot de passe lors de la détection de l’incident.
De plus, l’équipe de sécurité de la plate-forme a enquêté sur tous les frais dus à des achats non autorisés effectués par les pirates et a pris des mesures pour annuler les abonnements concernés et rembourser les titulaires de compte.
Les titulaires de compte légitimes qui ont été détournés doivent visiter « my.roku.com » et cliquez sur » Mot de passe oublié?’pour obtenir un lien de réinitialisation sur leur e-mail.
Après avoir accédé au compte, accédez au tableau de bord Roku et examinez l’activité, les appareils connectés et les abonnements actifs pour vous assurer que tout est légitime.
Malheureusement, Roku ne prend pas en charge l’authentification à deux facteurs, ce qui empêche les détournements même en cas de compromission des informations d’identification.
Les comptes Roku ne valent que 50 cents
Roku est une société de médias numériques et de contenu en streaming proposant des clés et des boîtiers de streaming, des kits domotiques, des barres de son, des bandes lumineuses et des téléviseurs exécutant son système d’exploitation spécialisé, permettant aux utilisateurs d’accéder à des services tels que Netflix, Hulu et Amazon Prime Video.
Pour générer des revenus, Roku permet également aux clients d’acheter des abonnements de streaming directement via leur compte Roku. Cela permet aux clients de gérer tous leurs services de streaming via un seul compte.
Cependant, lors de l’ajout d’un abonnement, Roku stocke les informations de carte de crédit des clients dans leurs comptes en ligne afin qu’elles puissent facilement être utilisées pour de futurs achats.
Breachtrace a appris que de nombreux acteurs de la menace mènent des attaques de bourrage d’informations d’identification à l’aide des outils de craquage Open Bullet 2 ou SilverBullet.
Ces programmes vous permettent d’importer des configurations personnalisées (fichiers de configuration) créées pour effectuer des attaques de bourrage d’informations d’identification contre des sites Web spécifiques, tels que Netflix, Steam, Chick-fil-A et Roku.
Un chercheur a déclaré à Breachtrace la semaine dernière que les acteurs de la menace utilisaient une configuration Roku pour effectuer des attaques de bourrage d’informations d’identification depuis des mois, contournant les protections contre les attaques par force brute et les captchas en utilisant des URL spécifiques et en parcourant des listes de serveurs proxy.
Les comptes piratés avec succès sont ensuite vendus sur des marchés de comptes volés pour aussi peu que 50 cents, comme on le voit ci-dessous où 439 comptes sont vendus.
Le vendeur de ces comptes fournit des informations sur la façon de modifier les informations sur le compte pour effectuer des achats frauduleux.
Ceux qui achètent les comptes volés les détournent avec leurs propres informations et utilisent des cartes de crédit stockées pour acheter des caméras, des télécommandes, des barres de son, des bandes lumineuses et des boîtiers de streaming.
Après avoir effectué leurs achats, il est courant qu’ils partagent des captures d’écran d’e-mails de confirmation de commande expurgés sur les canaux Telegram associés aux places de marché des comptes volés.
Récemment, Roku a été critiqué pour avoir modifié ses « Conditions de résolution des litiges » et empêché les clients d’utiliser leurs appareils de streaming jusqu’à ce qu’ils les acceptent.
Ces nouvelles conditions obligent les clients à traiter d’abord toute réclamation par le biais d’un appel en personne, téléphonique ou vidéo avec les représentants légaux de l’entreprise avant qu’une réclamation puisse être déposée en arbitrage.
Cependant, comme le montre l’image ci-dessus, il n’y a aucun moyen de continuer à utiliser un appareil de streaming Roku sans d’abord accepter les conditions.
Une source a déclaré à Breachtrace que les nouvelles Conditions de règlement des différends sont en partie liées aux attaques continues de bourrage d’informations d’identification et à la fraude financière menées via les comptes piratés.