Zahlreiche Konten des Streaming-Dienstes Disney+ sind in die Hände von Hackern gefallen und werden nun im Internet zum Verkauf angeboten. Cyberkriminelle offerieren die Zugangsdaten für diese kompromittierten Accounts zu Preisen zwischen 3 und 11 US-Dollar. Wir beleuchten, wie es dazu kommen konnte und was Sie tun können, um Ihren Disney+-Account zu schützen.
Wie gelangen Hacker an Disney+-Konten?
Disney selbst hat gegenüber Variety erklärt, dass es „keine Hinweise auf eine Sicherheitsverletzung“ auf ihren Servern gibt und dass lediglich ein „geringer Anteil“ der über 10 Millionen Nutzer von diesem Datenleck betroffen sei.
Doch wenn Disneys Server nicht angegriffen wurden, wie konnten dann Tausende Konten gehackt werden?
Die Antwort liegt, wie so oft, in der Wiederverwendung von Passwörtern. Wenn Sie für verschiedene Websites dasselbe Passwort verwenden, ist es wahrscheinlich, dass Ihre Zugangsdaten bereits von einer anderen Plattform offengelegt wurden. Ein Hacker muss dann lediglich diese bereits kompromittierten Daten verwenden und sie auf anderen Seiten ausprobieren.
Nehmen wir an, Ihre E-Mail-Adresse lautet „[email protected]“ und Ihr Passwort „SuperSicheresPasswort“, das Sie überall verwenden. Da in den letzten Jahren zahlreiche Websites gehackt wurden, ist es sehr wahrscheinlich, dass die Kombination „[email protected] / SuperSicheresPasswort“ in einer oder mehreren Datenbanken mit durchgesickerten Anmeldedaten vorhanden ist. Wenn Sie sich bei Disney+ anmelden, tun Sie dies mit Ihren gewohnten Daten. Hacker nutzen diese gestohlenen Benutzernamen und Passwörter, um sich bei Disney+ und anderen Diensten anzumelden.
Es ist nicht sicher, dass die hier betroffenen Konten auf diese Weise kompromittiert wurden, aber diese Methode ist eine typische Vorgehensweise. Eine weitere Möglichkeit wäre der Einsatz von Keylogging-Malware, die im Hintergrund auf den Computern der Benutzer läuft und deren Zugangsdaten abgreift. Diese Probleme auf Benutzerseite sind wahrscheinlich die Hauptursache, nicht ein Angriff auf Disneys Server.
Die Wiederverwendung von Passwörtern ist ein ernsthaftes Problem im Internet. Eine Studie von Google/Harris aus dem Jahr 2019 ergab, dass 52 % der Befragten dasselbe Passwort für mehrere Konten verwenden und 13 % dasselbe Passwort überall einsetzen. Nur 35 % gaben an, durchgehend unterschiedliche Passwörter zu verwenden.
So sichern Sie Ihren Disney+-Account
Verwenden Sie ein einmaliges Passwort für Ihr Disney+-Konto – und für alle Ihre anderen Online-Konten. Es ist schwierig (vielleicht sogar unmöglich), sich so viele starke, individuelle Passwörter zu merken. Aus diesem Grund ist die Verwendung eines Passwortmanagers empfehlenswert. Sie müssen sich nur ein starkes Master-Passwort merken, um Ihren sicheren Passwort-Tresor zu entsperren. Ihr Passwortmanager erstellt dann automatisch starke Passwörter für Ihre Online-Konten und gibt sie für Sie ein.
Tauschen Sie Ihre schwachen, wiederverwendeten Passwörter gegen starke, einzigartige Passwörter aus. Überlassen Sie diese Aufgabe einem Passwortmanager und sparen Sie sich mentale Energie.
Wir empfehlen hier keinen speziellen Passwortmanager. Wir finden 1Password und LastPass gut. Dashlane bietet eine ansprechende Oberfläche. Bitwarden und KeePass sind Open Source. Sogar Ihr Webbrowser hat einen integrierten Passwortmanager. Wir raten jedoch von der Nutzung der integrierten Passwortmanager ab, auch wenn sie besser als nichts sind.
Über einen Dienst wie Have I Been Pwned? können Sie prüfen, ob Ihr Passwort bei bekannten Sicherheitslücken kompromittiert wurde. Passwortmanager wie 1Password und LastPass checken ebenfalls, ob Ihre Passwörter gefährdet sind. Verlassen Sie sich jedoch nicht zu sehr auf solche Prüfungen: Selbst wenn Ihr Passwort nicht in den entsprechenden Datenbanken auftaucht, kann es dennoch kompromittiert sein.
Beachten Sie auch die üblichen Tipps zur Online-Sicherheit: Stellen Sie sicher, dass auf Ihrem Windows-PC Anti-Malware-Software läuft, halten Sie Ihre Software auf dem neuesten Stand und aktivieren Sie die Zwei-Faktor-Authentifizierung für sensible Konten wie Ihre E-Mail. Diese zweistufige Sicherheit schützt Sie selbst dann, wenn jemand Ihren Benutzernamen und Ihr Passwort in Erfahrung bringt.
Disney verfolgt verdächtige Anmeldungen
Disney hat gegenüber Variety zudem mitgeteilt, dass „wenn wir einen verdächtigen Anmeldeversuch bemerken, wir das betreffende Benutzerkonto vorsorglich sperren und den Nutzer auffordern, ein neues Passwort festzulegen.“ Wenn Disney das Problem im Griff hat, könnten die betroffenen Disney+-Kontodaten selbst zu einem Preis von 3 US-Dollar kein gutes Geschäft für Kriminelle sein.
Wenn Sie ausgesperrt sind, empfiehlt Disney, dass Sie den Kundenservice kontaktieren.
Was Disney tun sollte, um seine Nutzer besser zu schützen
Obwohl Disney+ wahrscheinlich nicht direkt für diese Vorfälle verantwortlich ist, könnte das Unternehmen definitiv mehr tun. Disney könnte eine Zwei-Faktor-Authentifizierung anbieten, bei der vor der Anmeldung ein zusätzlicher Code eingegeben werden muss – zum Beispiel ein Code, der an Ihr Smartphone gesendet oder von einer App erzeugt wird.
Zwar würde dies Personen schützen, die Passwörter überall wiederverwenden, doch solche Nutzer würden diese Funktion vermutlich nicht aktivieren. Die Zwei-Faktor-Authentifizierung ist eine gute Option, die wir überall gerne sehen würden, doch sie ist nicht für jeden eine Lösung.
Zusätzlich könnte Disney automatisch nach durchgesickerten Kombinationen aus Benutzernamen und Passwörtern suchen und die betroffenen Disney+-Nutzer proaktiv benachrichtigen und sie auffordern, ihre Daten zu ändern. Netflix hat dies in der Vergangenheit bereits getan.
Letztendlich ist Disney+ aber nicht allein betroffen. Kriminelle verkaufen im Dark Web auch Zugangsdaten für Netflix-Konten. Schlechte Passwortpraktiken stellen ein Risiko für viele verschiedene Online-Konten dar. Aus diesem Grund spricht die Technologiebranche immer wieder davon, Passwörter abzuschaffen.
Es ist wichtig zu betonen, dass Disney+ *NICHT* gehackt wurde. Es gab keinen Datendiebstahl bei Disney+.
Wenn Sie besorgt sind, richten Sie einen Passwortmanager ein (wie z.B. @LastPass oder @1Password), generieren Sie ein neues (zufälliges) Passwort und *ÄNDERN* Sie Ihr Passwort.
Überprüfen Sie zudem Ihre Konten unter https://t.co/wKe1GnPdqV.
— Justin Duino (@jaduino) 19. November 2019