Хакер #305. Многошаговые SQL-инъекции
Компания Roku сообщила, что 576 000 пользовательских учетных записей были взломаны в результате новой волны credential stuffing атак. В прошлом месяце компания уже предупреждала об аналогичном инциденте, в результате которого было взломано 15 000 аккаунтов.
Roku производит цифровые медиаплееры и специализируется на потоковом контенте, выпуская стики и приставки для потокового вещания, саундбары и телевизоры под управлением своей специализированной ОС. Все это позволяет пользователям получать доступ к таким сервисам, как Netflix, Hulu и Amazon Prime Video.
По информации компании, злоумышленники использовали логины и пароли, украденные с других онлайн-платформ, чтобы взломать как можно больше активных учетных записей Roku.
Напомним, что термином credential stuffing обычно обозначают ситуации, когда учетные данные похищаются с одних сайтов, а затем используются на других. То есть злоумышленники имеют уже готовую базу (приобретенную в даркнете, собранную самостоятельно и так далее) и пытаются использовать эти данные, чтобы авторизоваться на различных сайтах и сервисах под видом своих жертв.
«Завершив расследование первого инцидента, мы продолжили внимательно следить за активностью учетных записей и выявили второй инцидент, который затронул еще примерно 576 000 аккаунтов, — сообщают представители компании. — Нет никаких признаков того, что сама Roku являлась источником учетных данных, использованных в этих атаках, или что системы Roku были скомпрометированы».
Несмотря на большое количество взломанных аккаунтов, злоумышленники вошли в систему от имени пострадавших лишь в 400 случаях и приобрели подписки на стриминговые сервисы или устройства Roku, используя привязанные к аккаунтами способы оплаты. Подчеркивается, что хакеры не имели доступа к конфиденциальной информации жертв, «включая полные номера кредитных карт или другую полную информацию о платежах».
Как уже было отмечено выше, в марте текущего года пользователи Roku уже становились жертвой точно таких же credential stuffing атак. Тогда хакеры применяли для взлома такие инструменты, как Open Bullet 2 и SilverBullet, а взломанные учтенные записи в итоге продавались в даркнете за 50 центов за штуку.
Теперь, после обнаружения второй и более масштабной атаки на своих пользователей, Roku принудительно сбросила пароли для всех пострадавших учетных записей и уведомила клиентов о случившемся. Также компания заявляет, что вернет деньги и отменит все списания со счетов, которые осуществили злоумышленники.
Кроме того, теперь в Roku появилась поддержка двухфакторной аутентификации (2ФА), которая включена по умолчанию для всех клиентов, включая тех, кого не затронули недавние инциденты.