Disney+ è la piattaforma streaming dell'omonima casa cinematografica. Preannunciata a marzo 2019, era attesissima, vista la promessa di offrire l'intero catalogo di film Disney, dai grandi classici alle serie prodotte ad hoc. Non c'è quindi da stupirsi se non appena disponibile sia stata letteralmente presa d'assalto: dieci milioni di iscritti nella prima settimana. Peccato che, oltre ad attirare l'attenzione dei fan, abbia attirato anche i cyber criminali.

Il problema è che in men che non si dica i neo iscritti hanno iniziato ad essere bombardati di email di phishing. Molti utenti Disney+ hanno segnalato di non riuscire più ad accedere al proprio account. Non solo: è bastato poco perché sul dark web iniziassero a circolare database con migliaia di profili Disney+ violati. Disney nega categoricamente di essere stata vittima di un attacco informatico. Vediamo che cosa ne pensano gli esperti di sicurezza di Sophos.
John Shier, senior security advisor di Sophos, spiega: “La nostra esperienza ci suggerisce che all’origine del problema potrebbe esserci un attacco di tipo credential stuffing. Sfrutta il fatto che le persone usano spesso le stesse credenziali per accedere a più applicazioni, siti e servizi. Oppure una campagna di phishing contro gli utenti Disney+. O ancora un malware in grado di rubare le credenziali dai dispositivi degli utenti".

Cerchiamo di capire meglio di che cosa si tratta. Gli attacchi credential stuffing sono quelli basati sulla cattiva abitudine degli utenti di usare le stesse credenziali per più servizi web. Come sottolineato più volte, in caso di violazione di uno dei servizi, tutti gli altri sono compromessi a cascata. Nel caso specifico, non è detto che i criminali informatici abbiano prelevato le credenziali da Disney+. Potrebbero averle acquistate sul dark web, come "pacchetto" di dati rubati a un altro sito.

Gli utenti potrebbero non essersi accorti del furto, magari relativo a un servizio che non usavano più. Ecco la dimostrazione lampante del perché sia tanto importante usare credenziali diverse per ciascun servizio. Si consiglia quindi di provvedere a variare username e password, magari con l'aiuto di un gestore di password.
John Shier, senior security advisor di SophosUn sistema per rimediare alle imprudenze degli utenti sarebbe l'autenticazione a due fattori. Purtroppo Disney+ al momento non dispone di questa opzione, lasciando gli utenti in balia di eventuali azioni di questo tipo.

L'altra ipotesi di Sophos è che i cyber criminali abbiano fatto uso di malware in grado di sottrarre le password. Usando software malevoli potrebbero aver individuato, tra i dati raccolti, anche le credenziali di accesso a Disney+. Considerato il clamore dell'annuncio, era scontato che queste informazioni acquisissero valore e che siano state messe in vendita.

La buona notizia per i lettori italiani è che Disney+ non è ancora sbarcato nel Belpaese. Probabilmente si dovrà attendere fine marzo 2020. Disney ha quindi tutto il tempo per rimediare a eventuali problemi di sicurezza. Oltre che per attivare l'autenticazione a due fattori. Gli utenti hanno margine per pensare a credenziali che non hanno mai usato.

Certo è che anche lo sbarco in Italia sarà una ghiotta possibilità di guadagno per i cyber criminali. Bisogna aspettarsi massicce campagne di phishing volte a colpire il più alto numero di vittime possibile. Si consiglia quindi l'installazione di un buon antivirus, sempre aggiornato.

Consigliata anche una buona dose di riservatezza: nel form di registrazione e nelle impostazioni è meglio fornire il minor numero possibile di informazioni personali. Quelle essenziali sono più che sufficienti.