Toute personne possédant un téléviseur Roku ou un appareil de streaming sera finalement obligée d’activer l’authentification à deux facteurs après que la société a révélé deux incidents distincts au cours desquels environ 600 000 clients ont vu leurs comptes accéder via le credential stuffing.
Le credential stuffing est une attaque dans laquelle les noms d’utilisateur et les mots de passe exposés dans une fuite sont testés sur d’autres comptes, généralement à l’aide de scripts automatisés. Lorsque les gens réutilisent leurs noms d’utilisateur et leurs mots de passe entre services ou effectuent de petites modifications facilement intuitives entre eux, les acteurs peuvent accéder à des comptes avec encore plus d’informations d’identification et d’accès.
Dans le cas des attaques Roku, cela signifiait accéder aux méthodes de paiement stockées, qui pouvaient ensuite être utilisées pour acheter des abonnements de streaming et du matériel Roku. Roku a écrit sur son blog et dans un rapport de violation de données mandaté, que les achats ont eu lieu dans « moins de 400 cas » et que les numéros complets de carte de crédit et autres « informations sensibles » n’ont pas été révélés.
Le premier incident, « plus tôt cette année », a impliqué environ 15 000 comptes d’utilisateurs, a déclaré Roku. En surveillant ces comptes, Roku a identifié un deuxième incident, touchant 576 000 comptes. Il s’agissait collectivement de « une petite fraction des plus de 80 millions de comptes actifs de Roku », indique le message, mais le géant du streaming s’efforcera d’empêcher de telles attaques de bourrage à l’avenir.
Les comptes concernés verront leur mot de passe réinitialisé et en seront informés, ainsi que les frais annulés. Chaque compte Roku, lors de la prochaine demande de connexion, devra désormais vérifier son compte via un lien envoyé à son adresse e-mail. Alternativement, on peut utiliser l’ID d’appareil de n’importe quel appareil Roku lié, selon la page d’assistance de Roku. (Forcer vous-même cette mise à niveau est probablement une bonne idée pour les propriétaires de Roku passés ou présents.)
Le blog de sécurité BleepingComputer a rapporté au moment de l’incident que les comptes Roku violés étaient vendus pour aussi peu que 50 cents chacun et probablement obtenus à l’aide d’outils de bourrage couramment disponibles qui contournent les protections par force brute via des proxys et d’autres moyens. BleepingComputer a rapporté qu’« une source » a lié les récentes mises à jour de Roku à ses conditions de résolution des litiges, qui bloquaient pratiquement les appareils Roku jusqu’à ce qu’un client accepte, à l’activité frauduleuse. Roku a dit à BleepingComputer que les deux n’étaient pas liés.