A Roku divulgou uma violação de dados que impactou mais de 15.000 clientes depois que contas hackeadas foram usadas para fazer compras fraudulentas de hardware e assinaturas de streaming.
No entanto, a BleepingComputer descobriu que há mais sobre este ataque, com atores de ameaças vendendo as contas roubadas por tão pouco quanto $0,50 por conta, permitindo que os compradores usem cartões de crédito armazenados para fazer compras ilegais.
Na sexta-feira, a Roku divulgou pela primeira vez a violação de dados, alertando que 15.363 contas de clientes foram hackeadas em um ataque de preenchimento de credenciais.
Um ataque de preenchimento de credenciais é quando atores de ameaças coletam credenciais expostas em violações de dados e então tentam usá-las para fazer login em outros sites, neste caso, o Roku[.]com.
A empresa diz que, uma vez que uma conta foi violada, isso permitiu que os atores das ameaças mudassem as informações na conta, incluindo senhas, endereços de e-mail e endereços de envio.
Isso efetivamente bloqueava um usuário da conta, permitindo que os atores das ameaças fizessem compras usando informações de cartão de crédito armazenadas sem que oLegítimo titular da conta recebesse emails de confirmação de pedidos.
"Parece provável que as mesmas combinações de nome de usuário / senha tenham sido usadas como informações de login para tais serviços de terceiros, bem como certas contas individuais da Roku", lê-se no aviso de violação de dados.
Como resultado, atores não autorizados foram capazes de obter informações de login de fontes de terceiros e, em seguida, usá-las para acessar certas contas individuais da Roku."
"Depois de ganhar acesso, eles então mudaram as informações de login da Roku para as contas individuais da Roku afetadas e, em um número limitado de casos, tentaram comprar assinaturas de streaming.
A Roku informa que garantiu as contas impactadas e forçou uma redefinição de senha ao detectar o incidente.
Além disso, a equipe de segurança da plataforma investigou quaisquer cobranças devidas a compras não autorizadas realizadas pelos hackers e tomou medidas para cancelar as assinaturas relevantes e reembolsar os titulares das contas.
Os titulares de contas legítimas que foram sequestrados devem visitar "my.roku[.]com" e clicar em 'Esqueceu a senha?' para obter um link de redefinição em seu email.
Depois de acessar a conta, vá para o painel da Roku e revise a atividade, dispositivos conectados e assinaturas ativas para garantir que tudo seja legítimo.
Infelizmente, a Roku não suporta autenticação de dois fatores, o que impede sequestros mesmo no caso de comprometimento de credenciais.
A Roku é uma empresa de conteúdo de mídia digital e streaming que oferece paus e caixas de streaming, kits de automação residencial, barras de som, fitas de luz e TVs rodando seu sistema operacional especializado, permitindo que os usuários acessem serviços como Netflix, Hulu e Amazon Prime Video.
Para gerar receita, a Roku também permite que os clientes comprem assinaturas de streaming diretamente por meio de suas contas Roku.
Isso permite que os clientes gerenciem todos os seus serviços de streaming através de uma única conta.
No entanto, ao adicionar uma assinatura, a Roku armazena as informações de cartão de crédito dos clientes em suas contas online para que possam ser facilmente usadas para futuras compras.
O BleepingComputer descobriu que vários atores de ameaças estão realizando ataques de preenchimento de credenciais usando as ferramentas de cracking Open Bullet 2 ou SilverBullet.
Esses programas permitem importar configs personalizados (arquivos de configuração) que são criados para realizar ataques de preenchimento de credenciais contra sites específicos, como Netflix, Steam, Chick-fil-A e Roku.
Um pesquisador disse ao BleepingComputer na semana passada que os atores das ameaças vêm usando uma configuração Roku para realizar ataques de preenchimento de credenciais por meses, ignorando as proteções de ataque de força bruta e captchas usando URLs específicas e alternando entre listas de servidores proxy.
As contas hackeadas com sucesso são então vendidas em mercados de contas roubadas por apenas 50 centavos, como visto abaixo onde 439 contas estão sendo vendidas.
O vendedor dessas contas fornece informações sobre como alterar informações na conta para fazer compras fraudulentas.
Os que compram as contas roubadas sequestram-nas com suas próprias informações e usam cartões de crédito armazenados para comprar câmeras, controles remotos, barras de som, fitas de luz e equipamentos de streaming.
Depois de fazer suas compras, é comum que compartilhem screenshots de e-mails de confirmação de pedido redigidos em canais do Telegram associados aos mercados de contas roubadas.
Recentemente, a Roku tem sido criticada por fazer mudanças em seus "Termos de Resolução de Disputas" e impedir que os clientes usem seus dispositivos de streaming até que concordem com eles.
Estes novos termos obrigam os clientes a primeiro lidar com qualquer reclamação por meio de uma chamada presencial, telefônica ou de vídeo com os representantes legais da empresa antes de uma reivindicação poder ser apresentada em arbitragem.
No entanto, como mostrado na imagem acima, não há como continuar usando um dispositivo de streaming Roku sem primeiro concordar com os termos.
Uma fonte informou ao BleepingComputer que os novos Termos de Resolução de Disputas estão em parte relacionados aos ataques de preenchimento de credenciais em andamento e à fraude financeira sendo conduzidos através das contas hackeadas.
Atualização 11/03/24: Após a publicação de nosso artigo, a Roku contestou o que nos foi dito, afirmando que os novosTermos de Resolução de Disputas não estão relacionados às contas hackeadas e às atividades fraudulentas.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...