Roku cierra mal la puerta del granero después de que medio millón de cuentas se vean comprometidas

Le puse un poco difícil a Roku en marzo después de que salió a la luz que unas 15.000 cuentas se vieron afectadas por una violación de seguridad. Para ser justos, esa infracción no fue enteramente culpa de Roku porque se realizó mediante relleno de credenciales. Ese es el método mediante el cual se utilizan las credenciales de alguna otra filtración y se prueban en otros servicios con la esperanza de haber reutilizado una contraseña en alguna parte. Ese ataque generó más de 15.000 impactos.

Eso ya es bastante malo. Lo peor era que Roku todavía no tenía autenticación de dos factores, lo que habría requerido que los malhechores tuvieran un segundo conjunto de credenciales y podría haber evitado muchas de las entradas no autorizadas.

Pero aparentemente las cosas empeoraron a partir de ahí. Roku anunció hoy que la investigación sobre la violación de 15.000 cuentasdescubrió un segundo ataque , "que afectó aproximadamente a 576.000 cuentas adicionales". (Para contextualizar, Roku tenía 80 millones de cuentas activas a finales de 2023).

Al igual que el primer ataque, Roku dice que "es probable que las credenciales de inicio de sesión utilizadas en estos ataques se hayan tomado de otra fuente, como otra cuenta en línea, donde los usuarios afectados pueden haber usado las mismas credenciales". En otras palabras, más relleno de credenciales. Roku dice que en menos de 400 casos se produjeron compras no autorizadas o suscripciones de transmisión utilizando los métodos de pago adjuntos a esas cuentas.

Todo eso es malo. Muy mal, en realidad. (Especialmente para las 400 cuentas en las que el dinero realmente cambió de manos).

Roku finalmente habilita 2FA, más o menos

Si hay alguna buena noticia de esto, es que Roku finalmente ha habilitado la autenticación de dos factores. Algo así como. Primero, esto es lo que Roku dijo en su publicación anunciando la segunda infracción:

“Como parte de nuestro compromiso continuo con la seguridad de la información, hemos habilitado la autenticación de dos factores (2FA) para todas las cuentas de Roku, incluso para aquellas que no se han visto afectadas por estos incidentes recientes. Como resultado, la próxima vez que intente iniciar sesión en su cuenta de Roku en línea, se enviará un enlace de verificación a la dirección de correo electrónico asociada con su cuenta y deberá hacer clic en el enlace del correo electrónico antes de poder acceder a la cuenta. .”

Esa segunda parte es importante. La principal autenticación de dos factores que Roku ha implementado es que le enviará un enlace, por correo electrónico, como forma secundaria de autenticación. Eso es mejor que nada. También puede ingresar los últimos cinco dígitos de la identificación de su dispositivo si por alguna razón no puede acceder a su correo electrónico para hacer clic en el enlace.

Lo que no tienes es ninguna opción. No puede elegir si la autenticación de dos factores se realiza mediante un “enlace mágico” (en el que la empresa le envía un enlace temporal para aprobar el acceso) o un código basado en el tiempo a través de SMS o una aplicación de autenticación. O algún otro método. Supongo que ese no es el fin del mundo. Un enlace enviado por correo electrónico es bastante sencillo, siempre que la cuenta de correo electrónico en sí no esté comprometida.

Pero tampoco está exento de problemas.

Activación del dispositivo posterior a 2FA

Sólo para probar las cosas, restablecí la contraseña de mi cuenta de Roku. Todos los inicios de sesión posteriores terminaron con Roku enviándome un correo electrónico con un enlace para hacer clic, tal como Roku dijo que sucedería. Eso funciona bien en un navegador web. Inicio sesión con mi correo electrónico y contraseña, luego espero un par de segundos hasta que Roku me envíe un enlace para hacer clic. Lo mismo ocurre con iniciar sesión en la aplicación Roku.

Pero tuve problemas al intentar iniciar sesión en un dispositivo de transmisión Roku después de un reinicio completo. Aquí hay dos opciones. Con uno, el dispositivo Roku puede mostrar un código QR en el televisor. Escanéelo con su teléfono y se le solicitará que inicie sesión con su correo electrónico y contraseña. Suficientemente fácil. Y ese inicio de sesión le enviará un enlace por correo electrónico en el que deberá hacer clic antes de poder hacer algo en el dispositivo que está intentando activar. Solo que no parece que la autenticación se devuelva al dispositivo.

Pero si elige la opción mediante la cual escribe manualmente su correo electrónico usando el control remoto de Roku, se le enviará un correo electrónico con un aspecto diferente. Haga clic en ese enlace y su dispositivo Roku se autenticará y activará, tal como debería. En otras palabras, parece que el método del código QR está intentando iniciar sesión en su cuenta, mientras que el método manual intenta activar correctamente el dispositivo.

Roku dice que está investigando esta parte.

La parte realmente frustrante

Esto realmente no debería ser tan difícil. La autenticación de dos factores no es particularmente nueva. Y aunque cualquier 2FA obviamente agrega una capa de complejidad a cualquier esquema de inicio de sesión (y si Roku es conocido por algo es su simplicidad), 2FA también es el tipo de cosas a las que los usuarios se han acostumbrado a lo largo de los años.

Roku necesita hacer algunas cosas. Lo más importante es que necesita arreglar la autenticación del dispositivo. Simplemente se rompe si intentas utilizar el código QR. (La buena noticia es que debería ser una solución del lado del servidor). Debería permitirle elegir su método de autenticación. Es probable que esto tarde un poco más en implementarse. Pero dado que Roku debería haber tenido una configuración 2FA adecuada hace años, eso no es una excusa.

La seguridad siempre será una batalla cuesta arriba. Es demasiado fácil para los malos actuar a la ofensiva. La defensa es costosa y requiere mucho tiempo. Pero no deja de ser menos importante. Roku todavía necesita mejorar.