Avez-vous récemment reçu un e-mail de réinitialisation de mot de passe de Roku ? Si tel est le cas, c'est une bonne idée de vérifier également vos différents autres comptes en ligne.
En mars 2024, le service de streaming et de télévision intelligente Roku a révélé que plus de 15.000 XNUMX comptes avaient été compromis à l’aide d’une attaque de « credential stuffing », ce qui signifie que tout compte que vous utilisiez avec le même mot de passe était également vulnérable. Vérifier Quelle est la valeur des données de vos comptes de réseaux sociaux sur le dark web ?
Qu'est-il arrivé à Roku ? Comment a-t-il été piraté ?
Avis officiel de violation de données révélé pour Roku [PDF] Activité suspecte signalée sur plus de 15000 XNUMX comptes liés à Roku.
Cependant, même si c'est Roku qui porte le plus gros du problème, ce n'est pas entièrement à blâmer. Tous les comptes semblent avoir été compromis par le credential stuffing :
Grâce à notre enquête, nous avons déterminé que des acteurs non autorisés ont probablement obtenu certains noms d'utilisateur et mots de passe de consommateurs auprès de sources externes (par exemple, via des violations de données de services tiers non liés à Roku). Il semble probable que les mêmes combinaisons nom d'utilisateur/mot de passe aient été utilisées comme informations de connexion pour des services tiers ainsi que pour des comptes Roku individuels.
Une attaque de credential stuffing, c’est-à-dire une attaque qui réutilise les mêmes informations de nom d’utilisateur et de mot de passe sur plusieurs services, constitue une erreur critique de l’utilisateur et un problème majeur à l’ère des violations massives de données.
Dans l'authentification des utilisateurs, le credential stuffing est une menace de cybersécurité qui implique l'injection automatisée d'identifiants de nom d'utilisateur et de mot de passe volés ou compromis (collectés à partir de diverses sources telles que des violations de données, des attaques de phishing ou des vidages de mots de passe) dans une connexion. L'application ou le service ciblé. tente d’accéder frauduleusement aux comptes d’utilisateurs. Cette technique de cyberattaque tire parti de la pratique répandue de la réutilisation des mots de passe, dans laquelle un utilisateur recycle les mêmes combinaisons de nom d'utilisateur et de mot de passe sur plusieurs services en ligne, amplifiant ainsi les risques après une violation de données.
Dans ce cas, les attaquants ont utilisé ces informations pour effectuer des achats en utilisant les coordonnées bancaires enregistrées sur le Roku. Mais même dans ce cas, Roku n'a pas fourni de numéros de sécurité sociale, d'informations complètes sur le compte de paiement (tous les achats étaient limités à Roku) ou d'autres informations d'identification.
Avez-vous reçu un e-mail de réinitialisation de mot de passe de Roku ? Vous devriez vérifier vos autres comptes
Désormais, le credential stuffing est dangereux car les gens utilisent la même combinaison de nom d’utilisateur et de mot de passe sur plusieurs services. Ainsi, si vous avez reçu un e-mail de réinitialisation de mot de passe de Roku après le piratage, il est logique de jeter un œil à vos autres comptes.
Partout où vous utilisez la même combinaison de nom d'utilisateur et de mot de passe, vous pouvez être à risque, même si vous n'utilisez pas de mots de passe faibles couramment utilisés. (Vous ne devriez jamais utiliser ces mots de passe!)
Comment vérifier si votre nom d'utilisateur et votre mot de passe ont été piratés
Il existe deux façons de savoir si les informations d'identification de votre adresse e-mail et de votre mot de passe ont été exposées lors du piratage.
La première consiste à naviguer vers un site HaveIBeenPwnedTroy Hunt (chercheur en sécurité et développeur de logiciels) est un site utile et gratuit de vérification des violations de données. Entrez simplement votre adresse e-mail et appuyez sur pwned ?, et il détectera toutes les violations de données contenant votre adresse e-mail. Vérifier Stratégies rapides pour vérifier et prévenir les fuites de vos données et informations personnelles.
C'est un bon point de départ, mais il ne précise pas les noms d'utilisateur, les noms de compte, les mots de passe, etc. (pour cause !). Pour savoir où vous avez utilisé une combinaison de nom d'utilisateur et de mot de passe, vous devrez creuser plus profondément manuellement. Nous avons expliqué comment trouver Comptes associés à une adresse e-mail En profondeur, mais voici un bref aperçu des méthodes que vous pouvez utiliser :
- Trouvez gratuitement des comptes de messagerie liés : les comptes de messagerie comme Gmail et Outlook suivent les comptes liés et vous pouvez y trouver les informations.
- Recherchez des connexions sociales à l'aide de Facebook et Twitter : parcourez toutes les applications et tous les sites Web auxquels vous êtes connecté à l'aide de vos comptes de réseaux sociaux.
- Recherchez dans votre boîte de réception les messages de vérification de compte : faites défiler vos messages électroniques et recherchez ces messages d'inscription.
- Utilisez des outils de suppression de compte tiers : ils peuvent suivre et effacer vos comptes.
- Trouvez tous les comptes en ligne en utilisant Namechk: Ce service analyse les sites Web à la recherche des noms d'utilisateur disponibles, et si votre nom habituel est pris, vous pouvez y avoir un compte.
- Vérifiez les comptes enregistrés dans votre navigateur : bien que ce ne soit pas le moyen le plus sûr de gérer les mots de passe, il fonctionne bien pour de nombreuses personnes. Vérifier Comment afficher les mots de passe enregistrés dans Google Chrome (et empêcher les autres d'y accéder).
- Utilisez un gestionnaire de mots de passe : vous utilisez probablement des mots de passe forts et uniques avec un gestionnaire de mots de passe, mais peut-être avez-vous eu un jour de congé où vous avez laissé des doublons ou des mots de passe faibles.
Lorsque vous gardez une trace de vos anciens comptes, modifiez les paramètres pour inclure un mot de passe fort et unique. Cela garantira que vos comptes sont sécurisés non seulement contre les attaques de credential stuffing, mais aussi contre d'autres types de violations de compte, de fraude par mot de passe, etc.
Alors, prenez une minute pour rechercher dans votre boîte de réception un e-mail de réinitialisation de mot de passe de Roku, et s'il s'y trouve, agissez pour rester en sécurité ! Vous pouvez maintenant visualiser Comment savoir si vos mots de passe sont vendus en ligne.
