Roku ha revelado una violación de datos que afecta a más de 15,000 clientes después de que se utilizaran cuentas hackeadas para realizar compras fraudulentas de hardware y suscripciones de streaming.
Sin embargo, BleepingComputer ha descubierto que hay más en este ataque, con actores de amenazas vendiendo las cuentas robadas por tan solo $0.50 por cuenta, permitiendo a los compradores usar tarjetas de crédito almacenadas para realizar compras ilegales.
El viernes, Roku reveló por primera vez la violación de datos, advirtiendo que 15,363 cuentas de clientes fueron hackeadas en un ataque de relleno de credenciales.
Un ataque de relleno de credenciales es cuando los actores de amenazas recopilan credenciales expuestas en violaciones de datos y luego intentan usarlas para iniciar sesión en otros sitios, en este caso, Roku.com.
La empresa dice que una vez que una cuenta fue hackeada, permitió a los actores de amenazas cambiar la información en la cuenta, incluidas contraseñas, direcciones de correo electrónico y direcciones de envío.
Esto efectivamente bloqueó a un usuario de la cuenta, lo que permitió a los actores de amenazas realizar compras utilizando la información de la tarjeta de crédito almacenada sin que el titular legítimo de la cuenta recibiera correos electrónicos de confirmación de pedido.
“Parece probable que las mismas combinaciones de nombre de usuario/contraseña se hubieran utilizado como información de inicio de sesión para servicios de terceros, así como para ciertas cuentas individuales de Roku”, dice el aviso de violación de datos.
“Como resultado, los actores no autorizados pudieron obtener información de inicio de sesión de fuentes de terceros y luego usarla para acceder a ciertas cuentas individuales de Roku.”
“Después de obtener acceso, cambiaron la información de inicio de sesión de Roku para las cuentas individuales de Roku afectadas y, en un número limitado de casos, intentaron comprar suscripciones de streaming.
Roku dice que aseguró las cuentas afectadas y obligó a restablecer la contraseña al detectar el incidente.
Además, el equipo de seguridad de la plataforma investigó cualquier cargo debido a compras no autorizadas realizadas por los piratas informáticos y tomó medidas para cancelar las suscripciones relevantes y reembolsar a los titulares de cuentas.
Los titulares legítimos de cuentas que fueron secuestrados deben visitar “my.roku.com” y hacer clic en ‘¿Olvidó su contraseña?’ para recibir un enlace de restablecimiento en su correo electrónico.
Después de acceder a la cuenta, vaya al panel de Roku y revise la actividad, los dispositivos conectados y las suscripciones activas para asegurarse de que todo sea legítimo.
Desafortunadamente, Roku no admite la autenticación de dos factores, lo que evita los secuestros incluso en caso de compromiso de credenciales.
Cuentas de Roku valen solo 50 centavos
Roku es una empresa de medios digitales y contenido en streaming que ofrece dispositivos de streaming y cajas, kits de domótica, barras de sonido, tiras de luces y televisores que ejecutan su sistema operativo especializado, lo que permite a los usuarios acceder a servicios como Netflix, Hulu y Amazon Prime Video.
Para generar ingresos, Roku también permite a los clientes comprar suscripciones de streaming directamente a través de su cuenta de Roku. Esto permite a los clientes administrar todos sus servicios de streaming a través de una sola cuenta.
Sin embargo, al agregar una suscripción, Roku almacena la información de la tarjeta de crédito de los clientes en sus cuentas en línea para que puedan ser utilizadas fácilmente para futuras compras.
BleepingComputer ha descubierto que numerosos actores de amenazas están llevando a cabo ataques de relleno de credenciales utilizando las herramientas de descifrado Open Bullet 2 o SilverBullet.
Estos programas le permiten importar configuraciones personalizadas (archivos de configuración) que están creados para realizar ataques de relleno de credenciales contra sitios web específicos, como Netflix, Steam, Chick-fil-A y Roku.
Un investigador le dijo a BleepingComputer la semana pasada que los actores de amenazas han estado utilizando una configuración de Roku para realizar ataques de relleno de credenciales durante meses, evitando las protecciones de ataque de fuerza bruta y captchas utilizando URL específicas y rotando a través de listas de servidores proxy.
Las cuentas hackeadas con éxito luego se venden en mercados de cuentas robadas por tan solo 50 centavos, como se puede ver a continuación donde se venden 439 cuentas.
Cuentas de Roku robadas vendidas por tan solo $0.50 en un mercado
Fuente: BleepingComputer
El vendedor de estas cuentas proporciona información sobre cómo cambiar la información de la cuenta para realizar compras fraudulentas.
Quienes compren las cuentas robadas las secuestran con su propia información y utilizan tarjetas de crédito almacenadas para comprar cámaras, mandos a distancia, barras de sonido, tiras de luces y dispositivos de streaming.
Después de realizar sus compras, es común que compartan capturas de pantalla de correos electrónicos de confirmación de pedidos censurados en canales de Telegram asociados con los mercados de cuentas robadas.
Capturas de pantalla de compras fraudulentas compartidas en Telegram
Fuente: BleepingComputer
Recientemente, Roku ha estado bajo fuego por realizar cambios en sus “Términos de Resolución de Disputas” y evitar que los clientes utilicen sus dispositivos de streaming hasta que estén de acuerdo con ellos.
Roku incitando a los usuarios a aceptar nuevos términos
Fuente: AJCxZ0 en los foros de la comunidad de Roku
Estos nuevos términos obligan a los clientes a resolver cualquier queja a través de una reunión en persona, por teléfono o video con los representantes legales de la empresa antes de poder presentar una reclamación en arbitraje.
Sin embargo, como se muestra en la imagen anterior, no hay forma de seguir usando un dispositivo de streaming de Roku sin aceptar primero los términos.
Una fuente le dijo a BleepingComputer que los nuevos Términos de Resolución de Disputas están relacionados en parte con los ataques de relleno de credenciales en curso y la fraudulenta actividad financiera que se lleva a cabo a través de las cuentas hackeadas.
Actualización 3/11/24: Después de la publicación de nuestro artículo, Roku disputó lo que nos dijeron, afirmando que los nuevos Términos de Resolución de Disputas no están relacionados con las cuentas hackeadas y las actividades fraudulentas.