Disney+ accounts massaal gestolen, horrorlancering wordt erger (updated)

Disney+ blundert weer.

Update 19-11-2019:

Disney heeft ons laten weten dat er geen ‘inbraak’ is geweest bij de servers van de streamingdienst. In een statement verzekert het miljardenbedrijf de gebruiker: “Disney neemt de privacy en veiligheid van de gegevens van onze gebruikers zeer serieus en er zijn geen aanwijzingen voor een inbreuk op de veiligheid op Disney+.”

Volgens Disney ligt de reden van de hieronder beschreven veiligheidsmelding bij andere bedrijven. “Deze incidenten zijn waarschijnlijk het gevolg van het feit dat een onbevoegd persoon de e-mail/wachtwoordcombinatie van een klant die tijdens eerdere beveiligingsincidenten is verzameld, heeft hergebruikt voor andere bedrijven.” Kennelijk zijn er systemen bij The Walt Disney Company die deze verdachte inlogactiviteiten kunnen herkennen en als onderdeel van een standaardprocedure het account blokkeren.

Uit het statement wordt niet helemaal duidelijk hoe sommige gebruikers naar eigen zeggen geen toegang meer hebben tot het gehele account, omdat zowel het wachtwoord als het e-mail-adres veranderd zouden zijn. Wellicht dat de slachtoffers dezelfde inloggegevens voor zowel hun Disney+-account als hun e-mail-account hadden waardoor het verzoek om een nieuw wachtwoord in te stellen ook onderschept is.

Originele artikel:

Disney+ zou de grote concurrent van Netflix moeten worden maar een kleine week na de lancering lijkt Netflix zich nog nergens zorgen over hoeven te maken. Ja, Disney’s eigen streamingdienst had binnen no-time 10 miljoen abonnees, maar talloze gebruikers konden geen content kijken door server-problemen. Nu blijkt dat sommige gebruikers niet eens meer bij hun account kunnen inloggen.

Gebruikers melden onder andere via Twitter, Reddit en aan ZDNet dat hun account slechts uren na de release van de service al gehackt was. Met andere woorden, betalende gebruikers (die eventueel al voor een jaar of langer vooruit hadden betaald) waren hun account luttele uren na de launch van Disney+ voor altijd kwijt.

https://twitter.com/brandoncult/status/1194312851306864640

De bovenstaande gebruiker kreeg meldingen van Disney dat zijn accountgegevens gewijzigd waren en hij is dus effectief buiten zijn account gesloten. Wat nog kwalijker is, is dat sommige gebruikers melden hun PayPal aan het account te hebben gekoppeld, maar nu dus niets meer aan hun inloggegevens hebben. Ze blijven daarentegen wel betalen voor het account.

@Disney @disneyplus @DisneyPlusHelp I literally just signed up, got to PayPal, it charged me the $1 And then this is the email I get?! I don’t understand …. is something wrong for real? Like how could someone hack my account when I was creating it?? pic.twitter.com/DgwmqjymeH

— Tanya (@smokin_rella) November 12, 2019

De vermeende hackers bieden naar verluidt gestolen accounts aan op fora. Soms zijn dat gratis betaalde accounts die men van zo’n forum kan overnemen, maar er worden ook Disney+-accounts verkocht voor tussen de $3 en $11. Nu is $11 meer dan wat een legitiem account kost, maar zodra een abonnement constant vernieuwd blijft worden, is het plotseling ontzettend gunstig en uiteraard weerzinwekkend.

Gebruikers smeken Disney nu om tweestapsverificatie maar vooralsnog zou ik er niet op rekenen dat Disney die feature introduceert. Het miljardenbedrijf heeft met deze verschrikkelijke lancering wel meer aan hun hoofd dan cybersecurity verbeteren. Tot die tijd kunnen we je dus alleen maar aanraden om je wachtwoord lastiger (dus langer) te maken, en te zorgen dat het verschillend van alle andere wachtwoorden is die je gebruikt.

Disney+ is er nu in de Verenigde Staten, Canada en Nederland. Verschillende media melden dat ook Nederlanders slachtoffer zijn geworden van gestolen accounts. Of Disney’s beveiliging een gatenkaas is of dat er iets meer aan de hand is moeten we nog even in het midden laten.