Roku通过订阅和广告计划提供流媒体电视服务。它是美国最大的流媒体电视分销商,去年用户超过8000万。今天,Roku发布的一篇博客文章称,在Roku调查了两起独立事件后,一些订阅者的个人账户数据被泄露。第一次发生在今年早些时候,当时该公司发现未经授权的演员能够使用从与Roku无关的来源窃取的密码和用户名访问大约15,000个Roku帐户。
攻击者使用的网络攻击方法被称为“凭证填充”。在这种攻击中,通过其他服务上的数据泄露获得的凭据被用来入侵属于另一个服务的帐户。“凭证填充”之所以如此有效,是因为太多人在不同平台的不同账户上使用相同的用户名和密码。Roku发现它的系统并不是这次数据泄露的源头。
Roku硬件可能非常昂贵
Roku刚刚结束对第一起事件的调查,就发现了第二起事件,影响了57.6万个Roku账户。Roku再次表示,没有迹象表明它是两次攻击中使用的账户凭证的来源。在两次攻击中,Roku的系统也没有受到损害。第二个事件听起来像是“凭证填充”再次被使用。
Roku说:“更确切地说,这些攻击中使用的登录凭证很可能是从另一个来源获取的,比如另一个在线帐户,受影响的用户可能使用了相同的凭证。”此外,Roku指出,在不到400起案例中,恶意攻击者侵入了Roku用户的账户,并未经授权购买了流媒体服务订阅和/或Roku硬件。在这400起案件中,攻击者仍然没有获得重要和敏感的客户数据,如完整的信用卡号码和其他支付信息。
该公司表示,受影响的账户数量只占公司8000万个账户的一小部分(0.0072%),但即便如此,该公司正在重置所有受影响账户的密码,并将情况通知这些客户。Roku还将退还或撤销少数账户的费用,这些账户发现,流媒体订阅服务或Roku硬件是使用存储在这些账户中的付款方式购买的。Roku再次表示,恶意行为者无法查看敏感的用户信息和完整的信用卡信息。
Roku为所有帐户启用了双因素身份验证(2FA)。虽然它确实在登录过程中增加了一个额外的步骤,但Roku表示,它已使其尽可能简单。该公司还为Roku账户持有人提供了一些建议:
为您的Roku帐户创建一个强大的唯一密码。混合使用大小写字符、数字和符号。您的密码应至少由8个字符组成。
保持警惕。要警惕任何来自Roku要求你更新付款细节、分享你的用户名或密码,或要求你点击任何链接的通信。如果你不确定来自Roku的电子邮件、推特或电话是否合法,请致电客户服务。最后,继续查看Roku的博客文章,并寻找来自该公司的合法通信。不时在Roku网站上查看您的帐户。
Roku表示,它致力于保护你的账户。
