Das Unterhaltungsunternehmen Disney startete diesen Monat in den USA sein Videostreaming-Angebot. Doch offenbar hat man sich bei der Sicherheit der Nutzerdaten nicht allzu viel Mühe gegeben.

Ein Anfängerfehler? In jedem Fall hat das Unternehmen schon im Vorfeld deutlich zu wenig Sicherheitsvorkehrungen getroffen. Das Angebot wirkt in puncto Sicherheitsmaßnahmen eher aus der Zeit gefallen. So bietet Disney+ keine Zwei-Faktor-Authentifizierung. Die ist heute bei vielen Services üblich, die sensible Nutzerdaten speichern.

Accounts werden im Dark Web gehandelt

ZDNet und die BBC berichten vom Handel mit Nutzerdaten im Dark Web. ZDNet hat dutzende Verkaufsstellen im Darknet mit Hilfe eines IT-Forensikers dokumentieren lassen. Auf der Webseite finden sich etliche Screenshots.

Die zeigen unter anderem, dass Accounts für Disney+ zwischen 3 und bis zu 11 US-Dollar pro Stück gehandelt werden. Letzteres ist etwas absurd, da das Monatsabo für den Service selbst nur 6,99 US-Dollar kostet.

Kein guter Start für Disney+

Als Konkurrenz zu Netflix oder Amazon Prime Video wollte Disney+ sich positionieren und das mit einem günstigen Preis und starken Marken (Star Wars, Marvel, und mehr).

Doch nun muss der Anbieter negative Schlagzeilen über sich und sein Angebot lesen. Zudem stehen die Hotlines nicht still und quillen die Support-Foren über. Aufgefallen sind die Änderungen den Nutzern wegen Hinweis-E-Mails, die sie erhielten. Sie hätten ihr Passwort und die hinterlegte E-Mail-Adresse geändert. Dem hätte man mit der eingangs angesprochenen Zwei-Faktor-Authentifizierung bereits einen Riegel vorschieben können. Das versäumte Disney und muss nun handeln.

Wie konkret es den Hackern gelingen konnte, in so kurzer Zeit so viele Nutzer-Accounts zu kapern, ist noch nicht bekannt. Es gibt Nutzer, die hatten mit Absicht neue Passwörter über ein Programm generiert, andere hingegen solche verwendet, die sie auch anderswo bereits genutzt hatten.

