Avez-vous reçu un e-mail de réinitialisation de mot de passe Roku ? Allez vérifier tous vos autres comptes

par
Tweetez
Partagez
Enregistrer
Partagez
Partagez
0 Partages

Points clés à retenir

  • Roku a subi une violation affectant plus de 15 000 comptes en raison d’attaques de credential stuffing.
  • Vous devriez vérifier les autres comptes qui utilisent les mêmes informations de connexion si vous avez reçu un avis de sécurité Roku.
  • Localisez et sécurisez tous les comptes liés aux informations d’identification compromises pour protéger vos données.

Avez-vous récemment reçu un e-mail de réinitialisation de mot de passe de Roku ? Si tel est le cas, vous feriez mieux de vérifier également vos autres comptes en ligne.

En mars 2024, le géant du streaming et de la télévision intelligente, Roku, a révélé que plus de 15 000 comptes avaient été piratés à l’aide d’une attaque de type credential stuffing, ce qui signifie que tout compte pour lequel vous utilisiez le même mot de passe est également vulnérable.

Qu’est-il arrivé à Roku ? Comment Roku a-t-il été violé ?

Avis officiel de violation de données de Roku [PDF] a révélé une activité suspecte sur plus de 15 000 comptes Roku.

Cependant, bien que Roku soit le principal responsable du problème, il n’était pas entièrement en faute. Il semble que les comptes aient tous été piratés à l’aide de credential stuffing :

Grâce à notre enquête, nous avons déterminé que des acteurs non autorisés avaient probablement obtenu certains noms d’utilisateur et mots de passe de consommateurs auprès de sources tierces (par exemple, via des violations de données de services tiers qui ne sont pas liés à Roku). Il semble probable que les mêmes combinaisons nom d’utilisateur/mot de passe aient été utilisées comme informations de connexion pour ces services tiers ainsi que pour certains comptes Roku individuels.

Le credential stuffing, c’est-à-dire une attaque qui réutilise les mêmes informations de nom d’utilisateur et de mot de passe sur plusieurs services, est une erreur utilisateur massive et un énorme problème à l’ère des énormes violations de données.

Dans ce cas, les attaquants ont utilisé ces informations pour effectuer des achats en utilisant les coordonnées bancaires enregistrées sur Roku. Mais même dans ce cas, Roku n’a pas fourni de numéros de sécurité sociale, d’informations complètes sur le compte de paiement (tous les achats étaient limités à Roku) ou d’autres informations d’identification.

Vous avez reçu un e-mail de réinitialisation de mot de passe Roku ? Vous devriez revoir vos autres comptes

Salle de presse Roku

Désormais, le credential stuffing est dangereux car les gens utilisent la même combinaison de nom d’utilisateur et de mot de passe sur plusieurs services. Donc, si vous avez reçu un e-mail de réinitialisation de mot de passe de Roku suite à la violation, il va de soi que vous devriez jeter un œil à vos autres comptes.

Partout où vous utilisez la même combinaison de nom d’utilisateur et de mot de passe, cela peut être à risque, même si vous n’utilisez pas de mots de passe faibles couramment utilisés. (Vous ne devriez jamais utiliser ces mots de passe !)

Comment vérifier si votre nom d’utilisateur et votre mot de passe sont violés

Il existe plusieurs façons de déterminer si votre combinaison e-mail et mot de passe a été exposée lors d’une violation.

La première implique un voyage à HaveIBeenPwned, le site de vérification des violations de données incroyablement utile et gratuit de Troy Hunt. Entrez simplement votre adresse e-mail et cliquez sur pwned ?, et cela révélera toutes les violations de données dans lesquelles se trouve votre adresse e-mail.

C’est un bon point de départ, mais il ne spécifie pas les noms d’utilisateur, les noms de compte, les mots de passe, etc. (pour cause !). Pour savoir où vous avez utilisé la combinaison nom d’utilisateur et mot de passe, vous devrez creuser plus profondément, manuellement. Nous avons expliqué en détail comment rechercher des comptes associés à une adresse e-mail, mais voici un bref aperçu des méthodes que vous pouvez utiliser :

  • Rechercher gratuitement des comptes liés à la messagerie : les comptes de messagerie tels que Gmail et Outlook suivent les comptes liés et vous pouvez y trouver les informations.
  • Trouvez des connexions sociales avec Facebook et Twitter : parcourez toutes les applications et sites Web auxquels vous êtes connecté à l’aide de vos comptes de réseaux sociaux.
  • Recherchez dans votre boîte de réception les messages de vérification de compte : faites défiler votre compte et recherchez ces messages d’inscription.
  • Utilisez des outils de suppression de compte tiers : ils peuvent retrouver et effacer vos comptes.
  • Trouvez tous les comptes en ligne avec Nomchk: Ce service analyse les sites Web à la recherche des noms d’utilisateur disponibles, et si votre nom habituel est pris, vous pourriez y avoir un compte.
  • Vérifiez les comptes enregistrés de votre navigateur : même si ce n’est pas la méthode de gestion des mots de passe la plus sécurisée, elle fonctionne bien pour de nombreuses personnes.
  • Utilisez un gestionnaire de mots de passe : vous utilisez probablement des mots de passe forts et uniques avec un gestionnaire de mots de passe, mais vous avez peut-être eu un jour de congé où vous avez laissé des doublons ou des mots de passe faibles.

    • Lorsque vous retrouvez vos anciens comptes, modifiez chacun d’eux pour avoir un mot de passe fort et unique. Cela garantira que vos comptes sont protégés non seulement contre les attaques de credential stuffing, mais aussi contre d’autres types de violations de compte, de fraude par mot de passe, etc.

    Alors prenez une minute pour rechercher dans votre boîte de réception un e-mail de réinitialisation de mot de passe Roku, et s’il s’y trouve, agissez pour rester en sécurité !