Peu de temps après le lancement de Disney +, les pirates informatiques ont détourné les identifiants de compte et les ont rendus disponibles à l’achat sur des forums, selon une enquête de ZDNet. Certains de ces comptes volés se vendent entre 3 et 11 dollars (même si un abonnement réel ne coûte que 7 dollars par mois), tandis que d’autres sont distribués gratuitement.

Moins de 24 heures après son lancement, le 12 novembre, Disney + a acquis 10 millions de clients, mais cette solution n’a été mise à disposition jusqu’à présent au Canada, aux Pays-Bas et aux États-Unis.

Quant aux personnes qui ont eu la malchance d’être piratées, elles signalent que les pirates les ont déconnectées de leur appareil avant de modifier l’adresse électronique et le mot de passe du compte, ce qui a pour effet d’exclure complètement le propriétaire du compte.

DISNEY+ HAS BEEN OPEN FOR LIKE 10 HOURS AND MY ACCOUNT HAS ALREADY BEEN HACKED pic.twitter.com/YBv6CfwTlh

— brandon ʕ·ᴥ·ʔ (@brandoncult) November 12, 2019

Not even been half of a week and my dad’s Disney+ account has ALREADY been hacked.

Great security there @disneyplus @Disney. Unbelievable. #DisneyPlus

— Jesse (@CommandrBlitzer) November 15, 2019

Les forums de piratage offrent maintenant des milliers de comptes à la vente, ZDNet notant que certains pourraient être acquis gratuitement.

En utilisant les services d’un chercheur en cyber-sécurité, BBC a également localisé “plusieurs comptes de clients piratés à vendre sur le Dark web”. Ces comptes volés sont accompagnés d’informations indiquant le type de compte auquel vous avez souscrit, ainsi que de la date d’expiration de chaque compte.

Bien que certains utilisateurs piratés disent que leurs identifiants de connexion sont uniques, BBC indique que le chercheur Jason Hill a déclaré qu’il semblait que les comptes avaient été piratés, car les utilisateurs utilisaient les mêmes mots de passe qu’ils utilisaient sur différents sites. Plus précisément, il affirme que les pirates ont probablement testé les mots de passe de sites précédemment violés et que, si ces mots de passe avaient réussi, ils avaient pris le contrôle du ou des comptes. ZDNet est parvenu à une conclusion similaire, bien qu’ils aient ajouté que les connexions auraient également pu être compromises si les utilisateurs avaient été infectés par des logiciels malveillants ou des enregistrements de frappe.

Disney + n’a pas encore mis en place d’authentification à deux facteurs.