Disney zei dat wachtwoorden voor Disney Plus-accounts die worden verkocht in ondergrondse hackforums afkomstig zijn van eerdere inbreuken bij andere bedrijven, voorafgaand aan de lancering van zijn streamingdienst vorige week.

Het bedrijf herhaalde woensdag dat het geen bewijs heeft gevonden voor een beveiligingsinbreuk en dat accountproblemen beperkt zijn tot "een zeer klein percentage gebruikers" van Disney Plus.

Disney en andere traditionele mediabedrijven proberen de abonnementsinkomsten vast te leggen die nu naar Netflix en andere streaminggiganten gaan. Geholpen door promoties, inclusief een gratis jaar voor sommige Verizon-klanten, Disney Plus trok op de eerste dag 10 miljoen abonnees.

De nieuwssite ZDNet vond gestolen gebruikersnamen en wachtwoorden voor accounts die voor $ 3 werden verkocht op ondergrondse hackforums. De streamingdienst van Disney kost $ 7 per maand of $ 70 per jaar.

Ondanks waarschuwingen van beveiligingsexperts, gebruikers hergebruiken wachtwoorden vaak bij meerdere diensten, wat betekent dat een inbreuk op de ene de deur opent voor een hacker om toegang te krijgen tot de anderen.

Gebruikers kunnen dit gemakkelijk vermijden door sterke wachtwoorden te gebruiken die uniek zijn voor elke dienst, zei Troy Hunt, een Australische veiligheidsonderzoeker wiens "Have I Been Pwned?" website waarschuwt mensen wanneer hun identiteitsgegevens worden gestolen.

Maar Hunt zei dat Disney betere beveiligingsmaatregelen zou moeten nemen.

"De Disney-situatie lijkt de zoveelste aanval met credential stuffing te zijn waarbij hackers een combinatie van klanten die wachtwoorden hergebruiken en de serviceprovider die niet voldoende verdediging biedt om het te stoppen, misbruiken. "Zet Hunt in een e-mail.

Paul Rohmeyer, een professor aan het Stevens Institute of Technology in Hoboken, New Jersey, zei dat hij verrast is dat streamingdiensten nog geen betere beveiliging hebben geïmplementeerd, zoals multi-factor authenticatie.

Met multi-factor authenticatie, gebruikers moeten een code invoeren die als sms of e-mail is verzonden wanneer ze zich aanmelden vanaf een nieuw apparaat. De code helpt ervoor te zorgen dat mensen die gestolen wachtwoorden gebruiken of ze raden, geen gebruik kunnen maken van een dienst zonder ook toegang te hebben tot het telefoon- of e-mailaccount van de legitieme gebruiker.

Rohmeyer zei dat diensten misschien aarzelen om strengere beveiliging te implementeren, omdat ze niet als hinderlijker willen worden beschouwd dan concurrenten.

Multi-factor authenticatie is een optie voor veel niet-streamingdiensten, inclusief Google, Facebook en Appel, maar de extra beveiliging moet ingeschakeld zijn. Disney Plus vereist wel codes die per e-mail worden verzonden bij het wijzigen van accountwachtwoorden, maar het gebruikt ze niet om in te loggen vanaf nieuwe apparaten.

Multi-factor authenticatie is moeilijker te implementeren voor diensten die in huishoudens worden gedeeld, omdat meerdere gebruikers toegang tot hetzelfde telefoon- of e-mailaccount nodig hebben. Terwijl Disney Plus, Netflix en Hulu laten familieleden hun eigen profielen maken, met aparte volglijsten en voorkeuren, ze delen allemaal dezelfde gebruikersnaam en hetzelfde wachtwoord. Apple TV Plus omzeilt dit door elk gezinslid in te laten loggen met een aparte Apple ID.

© 2019 The Associated Press. Alle rechten voorbehouden.