Roku ha dado a conocer una brecha de seguridad que impactó a más de 15.000 clientes después de que se usaran cuentas pirateadas para llevar a cabo compras fraudulentas de hardware y suscripciones de transmisión.
Sin embargo, BleepingComputer ha descubierto que hay más en este incidente: los ciberdelincuentes están vendiendo las cuentas robadas por un precio tan bajo como 0,50 dólares por cuenta, lo que permite a los compradores emplear las tarjetas de crédito almacenadas para realizar compras ilegales.
El viernes, Roku reveló por primera vez la brecha de datos, alertando que 15.363 cuentas de clientes fueron pirateadas en un ataque de relleno de credenciales.
Un ataque de relleno de credenciales ocurre cuando los ciberdelincuentes recopilan credenciales expuestas en violaciones de datos y luego intentan utilizarlas para acceder a otros sitios, en este caso, Roku.com.
La empresa indica que una vez que se comprometía una cuenta, permitía a los ciberdelincuentes modificar la información de la cuenta, incluyendo contraseñas, direcciones de correo electrónico y direcciones de envío.
Esto efectivamente excluía a un usuario de su cuenta, permitiendo a los ciberdelincuentes realizar compras utilizando la información de la tarjeta de crédito almacenada sin que el legítimo titular de la cuenta recibiera correos electrónicos de confirmación de pedido.
"Es probable que se hayan utilizado las mismas combinaciones de nombre de usuario y contraseña como credenciales de inicio de sesión para esos servicios de terceros, así como para ciertas cuentas individuales de Roku", se menciona en el documento. aviso de brecha de datos.
"Como resultado, los individuos no autorizados lograron obtener información de inicio de sesión de fuentes de terceros y luego emplearla para acceder a ciertas cuentas individuales de Roku".
"Tras obtener acceso, cambiaron la información de inicio de sesión de Roku para las cuentas individuales afectadas y, en un número limitado de ocasiones, intentaron adquirir suscripciones de transmisión.
Roku afirma que ha asegurado las cuentas afectadas y ha obligado a una restablecimiento de contraseña al detectar el incidente.
Además, el equipo de seguridad de la plataforma ha investigado cualquier cargo debido a compras no autorizadas realizadas por los hackers y ha tomado medidas para cancelar las suscripciones correspondientes y reembolsar a los titulares de cuentas.
Los legítimos titulares de cuentas que hayan sido pirateadas deben visitar "my.roku.com" y seleccionar "¿Olvidaste tu contraseña?" para recibir un enlace de restablecimiento en su correo electrónico.
Después de acceder a la cuenta, es recomendable revisar la actividad, los dispositivos conectados y las suscripciones activas en el panel de Roku para asegurarse de que todo sea legítimo.
Lamentablemente, Roku no ofrece soporte para la autenticación de dos factores, lo que brindaría protección adicional incluso si las credenciales se ven comprometidas.
El valor de las cuentas de Roku es de solo 50 centavos
Roku es una empresa de contenido de streaming y medios digitales que proporciona dispositivos y cajas de streaming, kits de automatización del hogar, barras de sonido, tiras de luz y televisores con su propio sistema operativo especializado, permitiendo a los usuarios acceder a servicios como Netflix, Hulu y Amazon Prime Video.
Para generar ingresos, Roku también facilita a los clientes la compra de suscripciones de streaming directamente a través de su cuenta de Roku. Esto les permite gestionar todos sus servicios de streaming en una única cuenta.
Al añadir una suscripción, Roku almacena la información de la tarjeta de crédito de los clientes en sus cuentas en línea para su uso conveniente en compras futuras.
BleepingComputer ha descubierto que numerosos ciberdelincuentes están llevando a cabo ataques de relleno de credenciales utilizando el OpenBullet 2 o herramientas de cracking SilverBullet.
Estos programas les permiten importar configuraciones personalizadas (archivos de configuración) diseñadas para efectuar ataques de relleno de credenciales contra sitios web específicos, como Netflix, Steam, Chick-fil-A y Roku.
Un investigador informó a BleepingComputer la semana pasada que los ciberdelincuentes han estado empleando una configuración de Roku para llevar a cabo ataques de relleno de credenciales durante meses, evadiendo las protecciones de ataques de fuerza bruta y captchas a través de URL específicas y rotando listas de servidores proxy.
Las cuentas pirateadas con éxito se comercializan en mercados de cuentas robadas por tan solo 50 centavos, tal como se muestra a continuación, donde se ofrecen 439 cuentas.
Fuente: BleepingComputer
El vendedor de estas cuentas proporciona indicaciones sobre cómo modificar la información de la cuenta para llevar a cabo compras fraudulentas.
Los compradores de las cuentas robadas las apropian con su propia información y emplean las tarjetas de crédito almacenadas para adquirir cámaras, controles remotos, barras de sonido, tiras de luz y dispositivos de streaming.
Después de realizar sus adquisiciones, es habitual que compartan capturas de pantalla de correos electrónicos de confirmación de pedidos en canales de Telegram asociados con los mercados de cuentas robadas.
Fuente: BleepingComputer
Recientemente, Roku ha recibido críticas por implementar cambios en sus "Términos de resolución de disputas" y bloquear a los clientes de utilizar sus dispositivos de streaming hasta que los acepten.
Fuente: AJCxZ0 en los foros de la comunidad de Roku
Estos nuevos términos requieren que los clientes aborden cualquier queja a través de una llamada en persona, por teléfono o por videollamada con los representantes legales de la empresa antes de poder iniciar un proceso de arbitraje.
No obstante, como se muestra en la imagen anterior, no hay forma de continuar utilizando un dispositivo de streaming de Roku sin aceptar primero los términos.
Una fuente comentó a BleepingComputer que los nuevos Términos de resolución de disputas están vinculados en parte a los persistentes ataques de relleno de credenciales y fraude financiero llevados a cabo a través de las cuentas pirateadas.
BleepingComputer se puso en contacto con Roku durante el fin de semana en busca de más información sobre los ataques y la actualización de sus términos en relación con ellos, pero no obtuvo respuesta.