Qu’est-ce qui se passe chez Roku ?
Roku déclare avoir détecté une “augmentation d’activité inhabituelle sur les comptes” plus tôt cette année. Après enquête, la société a découvert que des acteurs malveillants avaient compromis environ 15 000 comptes Roku.
Cependant, cela n’était pas dû à une violation de sécurité dans les systèmes de Roku. En réalité, ces acteurs malveillants ont obtenu les noms d’utilisateur et les mots de passe de ces comptes par le biais de tiers, probablement via des sources qui diffusent des identifiants volés en ligne. Ils ne savaient pas nécessairement que ces noms d’utilisateur et mots de passe étaient pour des comptes Roku ; ils ont plutôt engagé ce qu’on appelle le “credential stuffing”, un processus automatisé où ils essaient de se connecter à des types de comptes populaires avec des identifiants volés jusqu’à tomber sur une combinaison gagnante. Il se trouve qu’ils ont atterri sur 15 000 comptes initiaux, avant de passer à des gains plus importants.
Roku affirme avoir poursuivi son enquête suite à cet incident et a découvert 576 000 comptes compromis dans le processus. Roku pense toujours que les identifiants de ces comptes ont été pris d’ailleurs et suggère même qu’ils ont pu être tirés de comptes où les utilisateurs avaient le même nom d’utilisateur et mot de passe. (Ne pas réutiliser vos mots de passe, les gens.) En tant que tel, la société ne pense pas avoir de problème de sécurité à l’heure actuelle.
Que faire si votre compte Roku a été affecté
Avec plus de 80 millions de comptes actifs, les chances que le vôtre fasse partie de la fraction de pour cent d’utilisateurs affectés sont minces. Pourtant, Roku indique avoir réinitialisé les mots de passe pour tous les utilisateurs affectés par cette attaque. Si des acteurs malveillants ont effectué un paiement en utilisant votre compte, Roku vous a remboursé. La société précise qu’aucune information financière n’a été compromise lors de l’attaque, vous pouvez donc garder vos cartes de crédit pour l’instant. Cela a également affecté un petit nombre d’utilisateurs (moins de 400 cas).
