Más de 15.000 cuentas de Roku afectadas por un ciberataque de relleno de credenciales

Servicio de transmisión de TV Roku. ROKU 14/3/2024

Para aquellos usuarios con cuentas afectadas, Roku ha señalado que han de visitar la web ‘my.roku.com’

Roku ha advertido sobre un reciente ataque de relleno de credenciales en el que ciberdelincuentes consiguieron acceder a más de 15.000 cuentas de clientes para comprar servicios y productos de forma fraudulenta utilizando la información de la tarjeta de crédito almacenada y, tras ello, vender dichas cuentas para que otros compradores puedan realizar otras compras fraudulentas.

La plataforma de transmisión de TV ha subrayado que se toman «muy en serio» la privacidad y seguridad de sus clientes y, como parte de su compromiso con la protección de la información de los usuarios, han advertido sobre un incidente de ciberseguridad que ha afectado a múltiples cuentas de clientes.

Recientemente, el equipo de Roku detectó actividad sospechosa que indicaba que actores maliciosos podían haber vulnerado ciertas cuentas de sus clientes y, tras llevar a cabo una investigación, han confirmado que 15.363 cuentas han sido afectadas con accesos no autorizados en los que los ciberdelincuentes intentaron comprar suscripciones de servicios de transmisión.

Tal y como ha explicado la compañía en un documento informativo enviado a sus clientes, tras detectar la actividad sospechosa llevaron a cabo una investigación para determinar el alcance del ataque, identificar las cuentas habían sido afectadas y localizar la información personal que pudiera haber sido comprometida.

Así, la investigación detalló que agentes no autorizados habían obtenido credenciales de inicio de sesión -nombres de usuario y contraseñas- de fuentes de terceros, es decir, a través de violaciones de datos de servicios que no estaban relacionados con Roku.

Tras ello, los ciberdelincuentes probaron a utilizar dichas credenciales de inicio de sesión robadas para intentar acceder a cuentas de Roku. Como resultado, comprobaron que algunos clientes habían utilizado las mismas combinaciones de nombre de usuario y contraseña como inicio de sesión para dichos servicios de terceros, así como para cuentas individuales de Roku.

De esta forma, los actores maliciosos fueron capaces de acceder a más de 15.000 cuentas individuales de Roku y, una vez dentro, cambiar la información de inicio de sesión para evitar que el titular de la cuenta pudiera acceder al servicio.

Incluso, según ha indicado la compañía, «en un número limitado de casos» los ciberdelincuentes utilizaron la información almacenada de la tarjeta de crédito para comprar suscripciones de servicios de ‘streaming’ a los que Roku ofrece acceso, como Netflix o Amazon Prime Video, desde la cuenta de los usuarios afectados.

A pesar de conseguir el acceso a las cuentas de los usuarios, Roku ha hecho especial hincapié que los actores maliciosos no tuvieron acceso a información sensible como números de la seguridad social, números completos de cuentas de pago, fechas de nacimiento u otro tipo de información personal.

Asimismo, también ha subrayado que, una vez se identificaron las cuentas afectadas, se las protegió de accesos no autorizados solicitando al titular de la cuenta que restableciera la contraseña. Igualmente, también se comprobó la actividad de la cuenta para asegurarse de que los ciberdelincuentes no habían incurrido en ningún cargo económico.

Siguiendo esta línea, Roku ha aseverado que canceló las posibles suscripciones que no estuvieran autorizadas y reembolsó todos los cargos económicos en caso de los ciberdelincuentes hubiesen hecho alguna compra.

DIVULGACIÓN DE CUENTAS

Este tipo de ataques se conocen como relleno de credenciales, un modus operandi en el que los actores maliciosos utilizan un conjunto de credenciales robadas para intentar acceder a varias cuentas a la vez. Se trata de un método utilizado por los ciberdelincuentes porque comúnmente los usuarios repiten credenciales en distintos servicios.

Siguiendo esta línea, según ha podido conocer el medio Bleeping Computer los ciberdelincuentes han utilizado las herramientas Open Bullet 2 o SilverBullet para llevar a cabo estos ataques de relleno de credenciales.

Asimismo, tras obtener acceso a dichas cuentas, el mismo medio ha señalado que los actores no autorizados también comenzaron a divulgar las credenciales de acceso robadas de los usuarios, vendiéndolas a compradores por 0,50 dólares por cuenta, en mercados ‘online’ secundarios y Telegram.

Con la venta de estas cuentas, se incluye información sobre cómo utilizarla y realizar compras fraudulentas. Así, los compradores de dichas cuentas utilizaron las tarjetas de crédito almacenadas para comprar otro tipo de productos de ‘hardware’ a los que Roku también ofrece acceso, como cámaras, barras de sonido o tiras de luz.

CÓMO PROTEGER LA CUENTA DE ROKU

Para aquellos usuarios con cuentas afectadas, Roku ha señalado que han de visitar la web ‘my.roku.com’ y hacer clic en ‘¿Olvidaste tu contraseña?’, tras ello, recibirán un enlace de reinicio de sesión en su correo electrónico.

De cara a aumentar la protección de las cuentas del servicio de transmisión, Roku ha animado a los usuarios a utilizar una contraseña única y segura para cada uno de los servicios y cuentas ‘online’ que utilizan.

Igualmente, también es recomendable que los usuarios revisen las suscripciones y los dispositivos vinculados a la cuenta de Roku, de manera que se tenga en cuenta dónde está abierta la sesión y de qué servicios se dispone.

Finalmente, Roku ha destacado la importancia de mantenerse alerta de posibles incidentes de robo de identidad y fraude. Para ello, aconseja monitorear periódicamente la actividad de la cuenta, así como estar pendiente de los recibos bancarios, para detectar cualquier actividad sospechosa. De esta manera, en caso de que se detecte cualquier movimiento fuera de lugar, los usuarios se podrán poner en contacto con el proveedor de la cuenta o con la compañía.

Con todo ello, Roku ha compartido que lamenta este suceso y ha trasladado sus disculpas por cualquier inconveniente causado a los usuarios. Además, ha manifestado que continúan llevando a cabo una investigación para determinar si es necesario tomar medidas adicionales. De la misma forma, también continúan buscando indicios de actividad sospechosa para evitar que este ataque vuelva a ocurrir, así como para mantener los datos de los clientes seguros.

Comparte esta Noticia