Roku fecha mal a porta do celeiro depois que meio milhão de contas são comprometidas

abril 13, 2024 gurinho

Roku Streaming Stick 4K. — Phil Nickinson/Tendências Digitais

Eu incomodei Roku em março, depois que descobri que cerca de 15.000 contas foram afetadas por uma violação de segurança. Para ser justo, essa violação não foi inteiramente culpa de Roku porque foi feita por meio de preenchimento de credenciais. Esse é o método pelo qual as credenciais de algum outro vazamento são usadas e testadas em vários outros serviços na esperança de que você tenha reutilizado uma senha em algum lugar. Esse ataque rendeu mais de 15.000 acessos.

Isso já é ruim o suficiente. O pior é que Roku ainda não tinha autenticação de dois fatores, o que exigiria que os malfeitores tivessem um segundo conjunto de credenciais e poderia ter evitado muitas das entradas não autorizadas.

Mas aparentemente as coisas pioraram a partir daí. Roku anunciou hoje que a investigação sobre a violação de 15.000 contasrevelou um segundo ataque , “que impactou aproximadamente 576.000 contas adicionais”. (Para contextualizar, Roku tinha 80 milhões de contas ativas no final de 2023.)

Assim como no primeiro ataque, Roku diz que “é provável que as credenciais de login usadas nesses ataques tenham sido obtidas de outra fonte, como outra conta online, onde os usuários afetados podem ter usado as mesmas credenciais”. Em outras palavras, mais preenchimento de credenciais. Roku diz que menos de 400 casos ocorreram compras não autorizadas ou assinaturas de streaming usando os métodos de pagamento anexados a essas contas.

Tudo isso é ruim. Muito ruim, na verdade. (Especialmente para as 400 contas que realmente viram o dinheiro mudar de mãos.)

Roku finalmente habilita 2FA, mais ou menos

Se houver alguma boa notícia disso, é que Roku finalmente habilitou a autenticação de dois fatores. Tipo de. Primeiro, aqui está o que Roku disse em sua postagem anunciando a segunda violação:

“Como parte do nosso compromisso contínuo com a segurança da informação, habilitamos a autenticação de dois fatores (2FA) para todas as contas Roku, mesmo para aquelas que não foram afetadas por esses incidentes recentes. Como resultado, na próxima vez que você tentar fazer login na sua conta Roku online, um link de verificação será enviado para o endereço de e-mail associado à sua conta e você precisará clicar no link do e-mail antes de poder acessar a conta. .”

Essa segunda parte é importante. A principal autenticação de dois fatores que o Roku implementou é que ele enviará a você um link, por e-mail, como forma secundária de autenticação. Isso é melhor do que nada. Você também pode inserir os últimos cinco dígitos do ID do seu dispositivo se, por algum motivo, não conseguir acessar seu e-mail para clicar no link.

O e-mail que você recebe se tentar fazer login na sua conta Roku. — Roku agora enviará a você um e-mail com um link exclusivo e descartável quando você tentar fazer login em sua conta. Phil Nickinson/Tendências Digitais

O que você não tem são opções. Não é possível escolher se a autenticação de dois fatores será feita por “link mágico” (onde a empresa envia um link temporário para aprovação do acesso), ou código baseado em tempo via SMS ou aplicativo autenticador. Ou algum outro método. Isso não é o fim do mundo, suponho. Um link enviado por e-mail é bastante simples – desde que a própria conta de e-mail também não esteja comprometida.

Mas também não é isento de problemas.

Ativação do dispositivo pós-2FA

Apenas para testar as coisas, redefini a senha da minha conta Roku. Todos os logins subsequentes terminaram com Roku me enviando um e-mail com um link para clicar, exatamente como Roku disse que aconteceria. Isso funciona bem em um navegador da web. Eu faço login com meu e-mail e senha e espero alguns segundos para que Roku me envie um link para clicar. O mesmo vale para fazer login no aplicativo Roku.

O e-mail recebido após inserir manualmente seu endereço de e-mail ao ativar um dispositivo Roku. Observe como ele parece diferente do e-mail que você recebe se usar o código QR. Phil Nickinson/Tendências Digitais

Mas tive problemas ao tentar fazer login em um dispositivo de streaming Roku após uma reinicialização completa. Existem duas opções aqui. Com um deles, o dispositivo Roku pode exibir um código QR na TV. Digitalize-o com seu telefone e você será solicitado a fazer login usando seu e-mail e senha. Bastante fácil. E esse login enviará a você um link por e-mail no qual você deverá clicar antes de poder fazer qualquer coisa no dispositivo que está tentando ativar. Apenas não parece que a autenticação seja devolvida ao dispositivo.

Mas se você escolher a opção de digitar manualmente seu e-mail usando o controle remoto Roku, você receberá um e-mail com aparência diferente. Clique nesse link e seu dispositivo Roku será autenticado e ativado, como deveria. Em outras palavras, parece que o método do código QR está tentando fazer login na sua conta, enquanto o método manual está tentando ativar o dispositivo corretamente.

Roku diz que está investigando esta parte.

A parte realmente frustrante

Isso realmente não deveria ser tão difícil. A autenticação de dois fatores não é particularmente nova. E embora qualquer 2FA obviamente adicione uma camada de complexidade a qualquer esquema de login – e se Roku é conhecido por alguma coisa, é pela simplicidade – 2FA também é o tipo de coisa com a qual os usuários se acostumaram ao longo dos anos.

Roku precisa fazer algumas coisas. O principal é que ele precisa corrigir a autenticação do dispositivo. Ele simplesmente quebra se você tentar usar o código QR. (A boa notícia é que isso deve ser uma solução do lado do servidor.) Deve permitir que você escolha seu método de autenticação. Isso provavelmente demoraria um pouco mais para ser implementado. Mas dado que Roku deveria ter configurado o 2FA adequado anos atrás, isso não é uma desculpa.

A segurança sempre será uma batalha difícil. É muito fácil para os bandidos jogarem no ataque. A defesa é cara e demorada. Mas não está ficando menos importante. Roku ainda precisa fazer melhor.