Roku плохо закрывает дверь сарая после того, как полмиллиона учетных записей скомпрометировано

В марте я доставил Roku неприятности после того, как выяснилось, что около 15 000 учетных записей пострадали из-за нарушений безопасности. Справедливости ради надо сказать, что в этом взломе не была полностью вина Року, поскольку оно было совершено посредством подброса учетных данных. Это метод, с помощью которого учетные данные используются из какой-то другой утечки и только что опробованы в различных других сервисах в надежде, что вы где-то повторно использовали пароль. Эта атака нанесла более 15 000 ударов.

Это достаточно плохо. Хуже того, у Roku до сих пор не было двухфакторной аутентификации, которая потребовала бы от злоумышленников наличия второго набора учетных данных и могла бы предотвратить многие несанкционированные входы.

Но, видимо, дальше дела пошли еще хуже. Сегодня Roku объявила, что расследование взлома 15 000 учетных записейвыявило вторую атаку , «которая затронула примерно 576 000 дополнительных учетных записей». (Для контекста: на конец 2023 года у Roku было 80 миллионов активных аккаунтов.)

Как и в случае с первой атакой, Року говорит, что «вероятно, что учетные данные для входа, использованные в этих атаках, были взяты из другого источника, например, из другой онлайн-учетной записи, где пострадавшие пользователи могли использовать те же учетные данные». Другими словами, больше учетных данных. Року говорит, что менее чем в 400 случаях были зафиксированы несанкционированные покупки или подписки на потоковую передачу с использованием способов оплаты, прикрепленных к этим учетным записям.

Все это плохо. На самом деле очень плохо. (Особенно для 400 счетов, на которых деньги действительно перешли из рук в руки.)

Roku наконец-то включил 2FA, что-то вроде

Если и есть какие-то хорошие новости, так это то, что Roku наконец-то включил двухфакторную аутентификацию. Вроде, как бы, что-то вроде. Во-первых, вот что сказал Roku в своем сообщении, объявляющем о втором взломе:

«В рамках нашей постоянной приверженности информационной безопасности мы включили двухфакторную аутентификацию (2FA) для всех учетных записей Roku, даже для тех, которые не пострадали от этих недавних инцидентов. В результате в следующий раз, когда вы попытаетесь войти в свою учетную запись Roku онлайн, ссылка для подтверждения будет отправлена ​​на адрес электронной почты, связанный с вашей учетной записью, и вам нужно будет щелкнуть ссылку в электронном письме, прежде чем вы сможете получить доступ к учетной записи. ».

Эта вторая часть важна. Основная двухфакторная аутентификация, которую реализовал Roku, заключается в том, что он отправит вам ссылку по электронной почте в качестве вторичной формы аутентификации. Это лучше, чем ничего. Вы также можете ввести последние пять цифр идентификатора вашего устройства, если по какой-то причине вы не можете получить доступ к электронной почте, чтобы перейти по ссылке.

Чего вы не получаете, так это никаких вариантов. Вы не можете выбрать, будет ли двухфакторная аутентификация выполняться по «магической ссылке» (когда компания отправляет вам временную ссылку для подтверждения доступа) или по временному коду через SMS или приложение для аутентификации. Или какой-то другой метод. Полагаю, это не конец света. Ссылка, отправленная по электронной почте, довольно проста — при условии, что сама учетная запись электронной почты также не скомпрометирована.

Но тут тоже не без проблем.

Активация устройства после 2FA

Просто чтобы проверить, я сбросил пароль своей учетной записи Roku. Все последующие входы в систему заканчивались тем, что Roku отправлял мне электронное письмо со ссылкой для перехода, как и обещал Roku. Это прекрасно работает в веб-браузере. Я вхожу в систему, используя свой адрес электронной почты и пароль, затем жду пару секунд, пока Roku пришлет мне ссылку, по которой можно перейти. То же самое касается входа в приложение Roku.

Но я столкнулся с проблемами при попытке войти в потоковую флешку Roku после аппаратного сброса. Здесь есть два варианта. С его помощью устройство Roku может отображать QR-код на телевизоре. Отсканируйте его с помощью телефона, и вам будет предложено войти в систему, используя адрес электронной почты и пароль. Достаточно легко. И этот логин отправит вам ссылку по электронной почте, по которой вам нужно будет щелкнуть, прежде чем вы действительно сможете что-либо сделать на устройстве, которое пытаетесь активировать. Только похоже, что аутентификация не возвращается на устройство.

Но если вы выберете вариант ввода электронной почты вручную с помощью пульта Roku, вам будет отправлено электронное письмо другого вида. Нажмите на эту ссылку, и ваше устройство Roku пройдет аутентификацию и активацию, как и должно быть. Другими словами, похоже, что метод QR-кода пытается войти в вашу учетную запись, а ручной метод пытается правильно активировать устройство.

Roku говорит, что изучает эту часть.

Самая разочаровывающая часть

Это действительно не должно быть так сложно. Двухфакторная аутентификация не является чем-то особенным. И хотя любой 2FA, очевидно, усложняет любую схему входа в систему — и если Roku чем-то и известен, так это простотой — 2FA также является той вещью, к которой пользователи привыкли за долгие годы.

Року нужно сделать несколько вещей. Прежде всего, необходимо исправить аутентификацию устройства. Он просто сломается, если вы попытаетесь использовать QR-код. (Хорошая новость заключается в том, что это должно быть исправлено на стороне сервера.) Оно должно позволить вам выбрать метод аутентификации. Вероятно, это займет немного больше времени. Но учитывая, что у Roku должна была быть настроена правильная 2FA много лет назад, это вряд ли является оправданием.

Безопасность всегда будет трудной битвой. Плохим парням слишком легко играть в нападении. Защита требует больших затрат и времени. Но это не становится менее важным. Року все еще нужно добиться большего.