Roku 针对以下所有最新安全问题启用 2FA • –

今年早些时候，攻击者访问了大约 591,000 个客户帐户后，流媒体巨头 Roku 强制实施 2FA。

这与 Roku 的时间表一样具体，但它表示，这些妥协是在两起不同的事件中发生的。 据称，第一起事件影响了 15,363 个账户，这促使该公司在 3 月份开始更密切地监控账户活动，这次监控导致发现了第二起事件，影响了大约 576,000 个账户。

该公司证实，在不到 400 起案例中，攻击者使用这些账户购买流媒体订阅和 Roku 硬件，并使用用户账户中存储的付款详细信息。

Roku 表示，这些账户持有人中的每一位都已获得退款，并且在任何情况下，攻击者都无法访问任何敏感信息，包括“完整的信用卡号码或其他完整的付款信息”。

根据美国3月8日发布的数据泄露通知信，社会安全号码、出生日期和其他类似信息也不受影响。

Roku 表示，其系统似乎也不会受到损害。 该公司认为这些账户是通过撞库攻击访问的，这些攻击使用了从其他来源窃取的凭证。

凭证填充和密码喷射都是非常相似的暴力攻击类型，但前者使用已知的凭证对（用户名和密码）。 后者只是向已知用户名发送常见密码，希望其中一个密码能够导致经过身份验证的会话。

“没有迹象表明 Roku 是这些攻击中使用的帐户凭据的来源，也没有迹象表明 Roku 的系统在这两起事件中受到了损害，” 说 在给客户的更新中。

“相反，这些攻击中使用的登录凭据很可能是从另一个来源获取的，例如另一个在线帐户，受影响的用户可能使用了相同的凭据。”

现在所有帐户都需要 2FA 无论是否受到妥协浪潮的影响，都将得到实施。 Roku 拥有超过 8000 万个活跃帐户，因此只有少数帐户受到影响，并且这些帐户都已被强制重置密码。

无论是否受到损害，都鼓励所有用户创建一个 其帐户的强而独特的密码，由至少八个字符组成，包括数字、符号和字母大小写的混合。

英国 NCSC 仍然建议创建由三个随机单词组成的密码，该密码的长度和强度仍然足以满足复杂性检查的要求。

Pentest People 的首席顾问 Josh Hickling 表示：“这凸显了通过密码管理器使用唯一密码的必要性。” “如果该网站的用户没有重复使用他们的密码，他们就不会受到影响。

“借助 Apple Keychain，或者 Android 上的 1Password 或 LastPass 等第三方，管理唯一密码库比以往任何时候都更加容易。这降低了您的密码在第三方网站上泄露并在不同系统上影响您的风险。 ”

Roku 还要求用户对其服务的可疑活动保持警惕，例如网络钓鱼电子邮件或点击可疑链接来重置密码——这是常见的事情。

“最后，我们对这些事件的发生以及它们可能造成的任何干扰表示诚挚的遗憾，”它说。 “您的帐户安全是重中之重，我们致力于保护您的 Roku 帐户。” ®