Nachdem eine halbe Million Konten kompromittiert wurden, schließt Roku das Scheunentor übel
Ich habe Roku im März ein wenig schwer gemacht, nachdem bekannt wurde, dass etwa 15.000 Konten von einer Sicherheitsverletzung betroffen waren . Fairerweise muss man sagen, dass dieser Verstoß nicht ausschließlich Rokus Schuld war, da er durch Credential Stuffing verursacht wurde. Dabei handelt es sich um die Methode, bei der Anmeldeinformationen aus einem anderen Leck verwendet und einfach in verschiedenen anderen Diensten ausprobiert werden, in der Hoffnung, dass Sie irgendwo ein Passwort wiederverwendet haben. Dieser Angriff erzielte mehr als 15.000 Treffer.
Das ist schon schlimm genug. Schlimmer noch war, dass Roku immer noch nicht über eine Zwei-Faktor-Authentifizierung verfügte, was von den Übeltätern einen zweiten Satz an Zugangsdaten verlangt hätte und viele der unbefugten Eingaben hätte verhindern können.
Aber anscheinend wurde es von da an tatsächlich noch schlimmer. Roku gab heute bekannt, dass die Untersuchung des Verstoßes gegen 15.000 Konteneinen zweiten Angriff aufgedeckt habe , „von dem etwa 576.000 zusätzliche Konten betroffen waren“. (Zum Vergleich: Roku hatte Ende 2023 80 Millionen aktive Konten.)
Wie beim ersten Angriff sagt Roku: „Es ist wahrscheinlich, dass die bei diesen Angriffen verwendeten Anmeldeinformationen von einer anderen Quelle stammen, beispielsweise einem anderen Online-Konto, bei dem die betroffenen Benutzer möglicherweise dieselben Anmeldeinformationen verwendet haben.“ Mit anderen Worten: mehr Credential Stuffing. Laut Roku kam es in weniger als 400 Fällen zu nicht autorisierten Käufen oder Streaming-Abonnements mit den Zahlungsmethoden, die mit diesen Konten verknüpft waren.
Das alles ist schlecht. Eigentlich sehr schlecht. (Besonders für die 400 Konten, auf denen tatsächlich Geld den Besitzer wechselte.)
Roku ermöglicht endlich 2FA, sozusagen
Die gute Nachricht daraus ist, dass Roku endlich die Zwei-Faktor-Authentifizierung aktiviert hat. Irgendwie. Hier ist zunächst, was Roku in seinem Beitrag zur Ankündigung des zweiten Verstoßes zu sagen hatte:
„Als Teil unseres kontinuierlichen Engagements für die Informationssicherheit haben wir die Zwei-Faktor-Authentifizierung (2FA) für alle Roku-Konten aktiviert, auch für diejenigen, die von diesen jüngsten Vorfällen nicht betroffen waren. Wenn Sie das nächste Mal versuchen, sich online bei Ihrem Roku-Konto anzumelden, wird daher ein Bestätigungslink an die mit Ihrem Konto verknüpfte E-Mail-Adresse gesendet, und Sie müssen auf den Link in der E-Mail klicken, bevor Sie auf das Konto zugreifen können .“
Dieser zweite Teil ist wichtig. Die wichtigste Zwei-Faktor-Authentifizierung, die Roku implementiert hat, besteht darin, Ihnen als sekundäre Form der Authentifizierung einen Link per E-Mail zu senden. Das ist besser als nichts. Sie können auch die letzten fünf Ziffern Ihrer Geräte-ID eingeben, wenn Sie aus irgendeinem Grund nicht auf Ihre E-Mail-Adresse zugreifen können, um auf den Link zu klicken.
Was Sie nicht bekommen, sind Optionen. Sie können nicht wählen, ob die Zwei-Faktor-Authentifizierung per „magischem Link“ (wobei das Unternehmen Ihnen einen temporären Link zur Genehmigung des Zugriffs sendet) oder per zeitbasiertem Code per SMS oder Authentifizierungs-App erfolgt. Oder eine andere Methode. Das ist nicht das Ende der Welt, nehme ich an. Ein per E-Mail verschickter Link ist ziemlich reibungslos – vorausgesetzt, dass das E-Mail-Konto selbst nicht ebenfalls kompromittiert wird.
Aber es ist auch nicht ohne Probleme.
Geräteaktivierung nach 2FA
Um es auszuprobieren, habe ich das Passwort meines Roku-Kontos zurückgesetzt. Alle nachfolgenden Anmeldungen führten dazu, dass Roku mir eine E-Mail mit einem Link zum Klicken schickte, genau wie Roku es angekündigt hatte. Das funktioniert gut in einem Webbrowser. Ich melde mich mit meiner E-Mail-Adresse und meinem Passwort an und warte dann ein paar Sekunden, bis Roku mir einen Link zum Klicken sendet. Gleiches gilt für die Anmeldung bei der Roku-App.
Beim Versuch, mich bei einem Roku-Streaming-Stick anzumelden, traten jedoch nach einem Hard-Reset Probleme auf. Hier gibt es zwei Möglichkeiten. Mit einem kann das Roku-Gerät einen QR-Code auf dem Fernseher anzeigen. Scannen Sie es mit Ihrem Telefon und Sie werden aufgefordert, sich mit Ihrer E-Mail-Adresse und Ihrem Passwort anzumelden. Leicht genug. Und diese Anmeldung sendet Ihnen per E-Mail einen Link, auf den Sie klicken müssen, bevor Sie tatsächlich etwas auf dem Gerät tun können, das Sie aktivieren möchten. Nur scheint es nicht so zu sein, dass die Authentifizierung an das Gerät zurückgegeben wird.
Wenn Sie jedoch die Option wählen, Ihre E-Mail manuell über die Roku-Fernbedienung einzugeben, wird Ihnen eine E-Mail mit einem anderen Aussehen gesendet. Klicken Sie auf diesen Link und Ihr Roku-Gerät wird wie vorgesehen authentifiziert und aktiviert. Mit anderen Worten: Es sieht so aus, als würde die QR-Code-Methode versuchen, Sie bei Ihrem Konto anzumelden, während die manuelle Methode versucht, das Gerät ordnungsgemäß zu aktivieren.
Roku sagt, es prüfe diesen Teil.
Der wirklich frustrierende Teil
Das sollte wirklich nicht so schwierig sein. Die Zwei-Faktor-Authentifizierung ist nicht besonders neu. Und während jede 2FA offensichtlich jedem Anmeldeschema eine Ebene der Komplexität verleiht – und wenn Roku für irgendetwas bekannt ist, dann für seine Einfachheit –, ist 2FA auch etwas, an das sich Benutzer im Laufe der Jahre gewöhnt haben.
Roku muss ein paar Dinge tun. In erster Linie muss die Geräteauthentifizierung korrigiert werden. Es ist einfach kaputt, wenn Sie versuchen, den QR-Code zu verwenden. (Die gute Nachricht ist, dass dies eine serverseitige Lösung sein sollte.) Sie sollte es Ihnen ermöglichen, Ihre Authentifizierungsmethode auszuwählen. Die Einführung würde wahrscheinlich etwas länger dauern. Aber angesichts der Tatsache, dass Roku schon vor Jahren eine ordnungsgemäße 2FA hätte einrichten sollen, ist das kaum eine Entschuldigung.
Sicherheit wird immer ein harter Kampf sein. Für die Bösen ist es zu einfach, in die Offensive zu gehen. Verteidigung ist kostspielig und zeitaufwändig. Aber es wird nicht weniger wichtig. Roku muss es noch besser machen.