В марте я немного покритиковал компанию Roku после того, как стало известно, что в результате взлома системы безопасности пострадали около 15 000 учетных записей. Справедливости ради стоит отметить, что в этом взломе не было полной вины Roku, так как он был совершен с помощью атаки с подстановкой учетных данных. Это метод, при котором учетные данные используются для утечки и просто пробуются в различных других сервисах в надежде, что вы где-то повторно использовали пароль. Эта атака привела к более чем 15 000 обращений.
Это достаточно плохо. Еще хуже то, что в Roku до сих пор нет двухфакторной аутентификации, которая потребовала бы от злоумышленников второго набора учетных данных и могла бы предотвратить многие из несанкционированных входов.
Но, видимо, дальше все стало еще хуже. Сегодня компания Roku объявила, что в ходе расследования взлома 15 000 учетных записей была обнаружена вторая атака, «которая затронула еще около 576 000 учетных записей». (Для сравнения, на конец 2023 года у Roku было 80 миллионов активных учетных записей).
Как и в случае с первой атакой, Roku утверждает, что «скорее всего, учетные данные, использованные в этих атаках, были взяты из другого источника, например, из другой онлайн-аккаунта, где пострадавшие пользователи могли использовать те же самые учетные данные». Другими словами, еще больше набивки учетных данных. Roku утверждает, что менее чем в 400 случаях были совершены несанкционированные покупки или подписки на потоковое вещание с использованием методов оплаты, которые были привязаны к этим учетным записям.
Все это плохо. Очень плохо, на самом деле. (Особенно для 400 аккаунтов, на которых действительно произошла смена денег).
Roku наконец-то включила 2FA, вроде как
Если и есть какая-то хорошая новость, так это то, что Roku наконец-то включила двухфакторную аутентификацию. Вроде того. Во-первых, вот что говорится в сообщении Roku о втором нарушении:
«В рамках наших постоянных обязательств по обеспечению информационной безопасности мы включили двухфакторную аутентификацию (2FA) для всех учетных записей Roku, даже для тех, которые не были затронуты этими недавними инцидентами. В результате при следующей попытке войти в свою учетную запись Roku в Интернете на адрес электронной почты, связанный с вашей учетной записью, будет отправлена ссылка для проверки, и вам нужно будет перейти по ссылке в письме, прежде чем вы сможете получить доступ к учетной записи».
Вторая часть очень важна. Основная двухфакторная аутентификация, реализованная Roku, заключается в том, что она отправляет вам ссылку по электронной почте в качестве вторичной формы аутентификации. Это лучше, чем ничего. Вы также можете ввести последние пять цифр идентификатора своего устройства, если по какой-то причине не можете добраться до электронной почты, чтобы перейти по ссылке.
Что вы не получите, так это никаких возможностей. Вы не можете выбрать, будет ли двухфакторная аутентификация осуществляться с помощью "волшебной ссылки" (когда компания отправляет вам временную ссылку для подтверждения доступа), или с помощью временного кода через SMS или приложение-аутентификатор. Или каким-то другим способом. Полагаю, это не конец света. Ссылка, отправленная по электронной почте, не требует особых усилий - при условии, что сама учетная запись электронной почты также не скомпрометирована.
Но и здесь не обошлось без проблем.
Активация устройства после 2FA
Чтобы проверить, я сбросил пароль учетной записи Roku. Все последующие входы в систему заканчивались тем, что Roku присылала мне письмо со ссылкой, на которую нужно было нажать, как и было заявлено Roku. Это прекрасно работает в веб-браузере. Я вхожу в систему с помощью электронной почты и пароля, затем жду пару секунд, пока Roku отправит мне ссылку для перехода. То же самое касается входа в приложение Roku.
Но я столкнулся с проблемой, пытаясь войти в систему на потоковом устройстве Roku после жесткого сброса настроек. Здесь есть два варианта. В первом случае устройство Roku может отобразить QR-код на экране телевизора. Отсканируйте его телефоном, и вам будет предложено войти в систему, используя свою электронную почту и пароль. Достаточно просто. И этот вход отправит вам ссылку по электронной почте, на которую вы должны нажать, прежде чем сможете что-либо сделать на устройстве, которое пытаетесь активировать. Только, похоже, аутентификация не возвращается на устройство.
Но если вы выберете вариант, при котором вы вручную вводите свою электронную почту с помощью пульта Roku, вам будет отправлено письмо другого вида. Щелкните по этой ссылке, и ваше устройство Roku пройдет аутентификацию и активируется, как и должно быть. Другими словами, похоже, что метод QR-кода пытается войти в вашу учетную запись, в то время как ручной метод пытается правильно активировать устройство.
Компания Roku заявила, что изучает этот вопрос.
Очень неприятная часть
На самом деле это не должно быть так сложно. Двухфакторная аутентификация не является чем-то особенно новым. И хотя любая 2FA, очевидно, добавляет уровень сложности в любую схему входа в систему - а Roku известна своей простотой - 2FA также является той вещью, к которой пользователи привыкли за многие годы.
Компании Roku необходимо сделать несколько вещей. Прежде всего, необходимо исправить аутентификацию устройства. Она просто не работает, если вы пытаетесь использовать QR-код. (Хорошая новость заключается в том, что это можно исправить на стороне сервера.) Она должна позволить вам выбирать метод аутентификации. Это, вероятно, займет немного больше времени. Но если учесть, что Roku должна была установить 2FA еще несколько лет назад, это вряд ли можно считать оправданием.
Безопасность всегда будет нелегкой задачей. Плохим парням слишком легко играть в нападение. Защита стоит дорого и отнимает много времени. Но от этого она не становится менее важной. Roku все еще нуждается в улучшении.
Если вам понравилась эта статья, подпишитесь на меня, чтобы не пропустить еще много полезных статей!
Также вы можете прочитать меня здесь:
- Telegram: https://t.me/gergenshin
- яндекс Дзен: https://dzen.ru/gergen
- официальный сайт: https://www-genshin.ru