Le service de streaming Roku a annoncé qu’une faille de sécurité a permis à un groupe de pirates informatiques d’accéder à 15 363 comptes d’utilisateurs et de stocker des informations de cartes de crédit.
Roku affirme dans un avis envoyé aux clients, relayé par Bleeping Computer, que les pirates ont obtenu les informations d’accès et ont tenté d’acheter des abonnements de streaming dans un « nombre limité » de cas.
Selon Roku, il est très probable que les pirates aient obtenu ces informations à partir de comptes exposés lors de précédentes attaques sur d’autres services. Dans ce type d’attaque, appelée « remplissage de crédentials » (credential stuffing), les pirates obtiennent les adresses e-mail et les mots de passe exposés lors de fuites de données et essaient la même combinaison sur d’autres services.
Une fois qu’ils ont obtenu l’accès aux comptes, les pirates de Roku ont modifié les informations de connexion de certains d’entre eux, ce qui leur a permis de prendre le contrôle total.
Si le compte contenait des informations de cartes de crédit, les pirates informatiques pouvaient également acheter des abonnements à d’autres services sur Roku, tels que Netflix, Disney+, Max, Paramount Plus, Hulu, Peacock et d’autres. Bleeping Computer a également découvert que les pirates vendent les informations volées pour environ 50 centimes par compte sur un marché de piratage.
La bonne nouvelle dans toute cette affaire est que les comptes Roku n’ont pas révélé de données sensibles, telles que les numéros de sécurité sociale, les numéros complets de compte de paiement ou les dates de naissance. Roku affirme avoir « protégé les comptes contre les accès non autorisés futurs » en demandant aux utilisateurs concernés de réinitialiser leurs mots de passe. Le service travaille également à annuler et rembourser les achats non autorisés.
Même si cette fuite de données ne vous a pas affecté, nous vous recommandons de consulter le site HaveIBeenPwned, où vous pourrez vérifier si l’une de vos adresses e-mail a été compromise lors d’une récente violation de données.
