Nella giornata di giovedì, un post pubblicato da un certo "@therealwilsn" su X/Twitter era diventato virale, causando preoccupazione tra gli utenti di Crunchyroll, in quanto conteneva un elenco di account Premium, completi di email e password, sollevando timori di una possibile violazione dei dati della piattaforma.
Solamente nelle ultime ore un portavoce di Crunchyroll si è espresso a riguardo, rilasciando una dichiarazione in cui nega la violazione dei suoi sistemi e assicurando di aver messo in sicurezza tutti i profili le cui credenziali erano finite in rete.
"Siamo consapevoli che le credenziali di accesso di diversi servizi di streaming, incluso Crunchyroll, sono state pubblicate sui social media ma abbiamo risolto il problema. Abbiamo protetto gli account interessati, indagato sulla situazione e stabilito che non esistono prove che i sistemi di Crunchyroll siano stati compromessi. Crunchyroll incoraggia gli abbonati a diversificare e cambiare regolarmente le password, e a mantenerle riservate. Per qualsiasi domanda riguardante la sicurezza dell'account, i fan possono visitare la nostra Help Page del servizio clienti".
Ovviamente la lista di informazioni non è più disponibile, in quanto l'account "@therealwilsn" è stato prontamente sospeso dal social, rendendo il post incriminato inaccessibile.
Fonte consultata:
Anime News Network
Solamente nelle ultime ore un portavoce di Crunchyroll si è espresso a riguardo, rilasciando una dichiarazione in cui nega la violazione dei suoi sistemi e assicurando di aver messo in sicurezza tutti i profili le cui credenziali erano finite in rete.
"Siamo consapevoli che le credenziali di accesso di diversi servizi di streaming, incluso Crunchyroll, sono state pubblicate sui social media ma abbiamo risolto il problema. Abbiamo protetto gli account interessati, indagato sulla situazione e stabilito che non esistono prove che i sistemi di Crunchyroll siano stati compromessi. Crunchyroll incoraggia gli abbonati a diversificare e cambiare regolarmente le password, e a mantenerle riservate. Per qualsiasi domanda riguardante la sicurezza dell'account, i fan possono visitare la nostra Help Page del servizio clienti".
Ovviamente la lista di informazioni non è più disponibile, in quanto l'account "@therealwilsn" è stato prontamente sospeso dal social, rendendo il post incriminato inaccessibile.
Fonte consultata:
Anime News Network
I collegamenti ad Amazon fanno parte di un programma di affiliazione: se effettui un acquisto o un ordine attraverso questi collegamenti, il nostro sito potrebbe ricevere una commissione.
Io sono riuscito a cambiare la password venti minuti fa.
Non penso neanche che sia necessario cambiare la password, anche se nel dubbio lo farò anch'io (ogni tot andrebbe fatto in ogni caso).
Hai perfettamente ragione, però nell'articolo dice che molte credenziali sono state postate sui social media. Ok che non sta dicendo che sono state pubblicate sul dark web. Forse sono io che esagero però una un messaggio non è che ti costa tanto per avvertire di cambiare almeno la password.
E' successo anche a me, non me la faceva cambiare dalle impostazioni. Ho dovuto fare logout e cliccare su Password Dimenticata...
Probabilmente era gente che aveva usato la medesima password anche altrove e qualcuno ha messo insieme le credenziali.
Se volete cambiare password uscite dall'account e cliccate sul pulsante che bisognerebbe usare in caso ve la foste dimenticata
non erano tenuti a farlo, anche perché nessun server di cruncyroll è stato violato... quelli pubblicati in rete erano account e password recuperati da altre aziende, che per sfortuna, avevano usato stessa mail e password anche per cr.... per cui non vi è stata una violazione... in ogni caso quegli account di gente maldestra che usa la stessa mail e password per tutto, erano compromessi.
mai usare stesso account e password per più servizi.
Quello che funziona sempre è il reset password fatto via mail.
Comunque cambiata la password di Crunchyroll già due giorni fa, meglio stare tranquilli
La prima me ne sono accorto perché mi diceva di continuare serie mai iniziate in lingua brasiliana!
Ma come fai a dirlo?
Se hanno preso la pass e il nick da un altro sito lo usano per quello perché non sanno ne possono sapere (li hanno presi da un altro sito,no?) se usi o no Crunchyroll!
Consgilio a tutti gli utenti per esperienza di cambiare subito la pass e di farlo anche spesso!
La gente usa la medesima Password per tutti i siti
Gli hacker spesso utilizzano strumenti automatizzati per condurre questo tipo di attacco, quindi non vanno a provare gli account uno ad uno, ma usano una tecnica chiamata "credential stuffing".
ecco come funziona:
visto che come abbiamo detto erano in possesso di account e password compromesse, delle volte questi database vengono persino acquistati sul darkweb.
poi successivamente creano un elenco di siti web target che possono essere ad esempio, social media, negozi online, servizi di streaming, ecc ecc ecc.
una volta che hai database di credenziali e elenco dei target, usi programmi come Sentry MBA, OpenBullet o simili, che possono, per l'appunto caricare grandi liste di credenziali e siti e provare le combinazioni automaticamente su ogni sito, in questo modo identificano gli accessi riusciti.
delle volte usano anche query o script personalizzate per interfacciarsi con i moduli di login dei siti.
et voilà, riescono a capire in pochissimo tempo dove sono stati usati account e password...
Sicuro?
No perché hai citato software che testano la sicurezza non che rubano le credenziali.
https://proxy-seller.com/it/blog/impostazione_di_un_proxy_in_openbullet/
Posto questo che ha una descrizione in italiano.
le credenziali le hai già... come ho detto prima il database molti se le vanno a comprare sul dark web, Open bullet non serve a reperire credenziali altrui, ma a provare combinazioni di credenziali già in tuo possesso...
basta chiedere a chat gpt e ti spiega per filo e per segno come funziona il credetial stuffing e in che modo vengono usati questi programmi...
Ma se i browser oggi ti permettono di avere una pass sicura personalizzata!
E perché Cr non introduce l'autenticazione a due fattori?
O almeno la notifica di accesso da altro ip nella mail?
La sicurezza non è una sciocchezza specie se si paga per accedere a un sito!
Non so se solo pass e user siano stati violati.
Come le so queste cose?
Indovina che lavoro faccio!
E queste sono le basi!!!!
Nei servizi in streaming non è ancora cosa comune. In realtà hanno già una autenticazione a tramite SMS in India, ma è a singolo fattore.
Per la questione dei browser finché non obblighi l’utente a generare una password differente ogni volta comunque continuerà ad utilizzare quello che ha sempre usato.
Credici!
Non è semplice violare un sito fatto bene!
Lo so per esperienza, li faccio i siti!
E sto attento alla sicurezza!
Almeno la notifica via mail per ip diverso e passa la paura!
Lo fanno tutti!!
Quelli seri...
In India?????
Fai l'indiano?
Con sms a pagamento e non via mail gratis?
Ma poi con sms è a singolo fattore?
Entri nel sito con le credenziali e chiedi un codice ma è a singolo fattore?
Sicuro?
Gli altri servizi poi hanno la notifica eccome!
Prime e Netflix abilitata di default e pensa un pò pure Disney+!
Faccio l'Italiano che si legge le FAQ del loro sito.
In India l'autenticazione tramite SMS è molto popolare
Entri nel sito e inserisci il tuo numero di telefono e poi ti arriva un codice, nessun altro secondo fattore.
Anche Crunchyroll ha la notifica via mail qualdo qualcuno fa log in con il tuo account.
Netflix e Disney non hanno la 2FA
Sicuro sicuro?
Quando cambi la pass o le impostazioni di sicurezza non ti mandano forse una mail con dentro 6 cifre?
"Anche Crunchyroll ha la notifica via mail qualdo qualcuno fa log in con il tuo account."
Il log ma non per un diverso IP che in rete è quello che conta essendo come il tuo indirizzo di casa!
Come mai?
"Entri nel sito e inserisci il tuo numero di telefono e poi ti arriva un codice, nessun altro secondo fattore."
Entrare nel sito è già il primo step dell'autenticazione e oggi che ho cambiato la pass a cr non ho avuto nessun messaggio solo un link per la mail che ho inserito ma che con le credenziali può essere cambiata!!!
Ma lavori per sony o cr?
Provato adesso a cambiare la password su Netflix e nessun codice a 6 cifre, ovviamente arrivata la mail in cui mi viene comunicato il cambio password.
Ogni nuovo dispositivo che connetti con Crunchyroll ti mandano una mail, a prescindere se l'IP è quello di casa tua o del Burundi.
Con entri nel sito intendo andare letteralmente sulla pagina web di log in, non effettuare l'accesso al sito web. Il log in di Crunchyroll tramite SMS è 1FA
Solo un normale utente che sa andarsi a leggere una FAQ pubblica su un sito web.
Se il leak non proviene direttamente da Crunchyroll il fatto che tu sia attivo oppure no non ha rilevanza.
Ah, beh le FaQ di cr!
Quelle tradotte in automatico?
"Come possiamo aiutare?"
E dove poi?
Ho cercato tra le varie caselle ma non c'è quella relativa, ma guarda un pò, alla sicurezza.
Mi posti il link?
Ah entrare in un sito, fare il log, non è visualizzare!
E se hanno le credenziali si può cambiare o no la mail e quindi rubare un account?
Ma tutto questo tuo sbattimento per difendere un sito che pare sia stato violato e che contiene i tuoi dati, carta di credito compresa, se non lavori per loro da dove viene?
Se se un utente e leggi il comunicato che ha rilasciato cr che fai?
Lasci la vecchia pass?
Ti svelo un segreto poi!
Su telegram circolano decine e decine di gruppi che le pass di cr le hanno e come!
Come le hanno avute?
Ah, già, gli utenti usano la stessa pass, che stupido!
Ma cr ha messo ora in sicurezza le credenziali mentre prima?
E perché non ha inviato la mail agli utenti informandoli di questo problema?
Eppure mandano mail a"iosa" di pubblicità!
Difendi l'indifendibile ma così facendo ti comporti male verso chi paga!
Lo hanno ammesso loro di aver avuto una fuga di credenziali ma solo dopo che c'è stata o no?
Se la colpa non è loro perché dicono di aver messo in sicurezza i dati?
Perché ho avuto serie in brasiliano come viste?
Perché tenti di sminuire un problema?
Eppure sei un utente no?
O no?
Aspetto il link delle faq, le ho lette ma non ho trovato nulla sulla sicurezza.
E neanche nella app o sotto il mio profilo!
Gli altri hanno una pagina che riporta gli accessi di tutti i dispositivi con la possibilità di bloccare quello che non si sa di chi sia.
Ripeto il consiglio CAMBIATE LA PASS UNA VOLTA AL MESE MINIMO!!!
Le pass circolano da tempo su telegram!
Puoi leggertele in Inglese se preferisci. Prima di chiedere un link dovresti porti la domanda di quale link necessiti. FAQ di cosa? https://help.crunchyroll.com/hc/en-us/articles/360021732331-What-do-I-do-if-my-account-has-been-compromised Ci sono i più disparati argomenti che puoi cercare.
Mi sa che non ci siamo capiti, io sto parlando del log in tramite SMS che è disponibile in India, tale log in necessita soltanto per appunto di un numero di telefono, nessun'altra informazione oltre al SMS di conferma.
Se hai le credenziali di accesso puoi cambiare in ogni momento la mail associata all'account.
Nessuna difesa di CR, non ne hanno bisogno ci mancherebbe. Solo volontà di scrivere di un argomento di mia competenza (l'informatica) e analizzare le informazioni che ci sono fino a questo momento.
Avrei cambiato password ben prima del comunicato quando la gente ha cominciato a parlarne giorni prima.
Phishing, Trojan, furti di identità... ci sono mille modi in cui si possono ottenere credenziali degli utenti ignari.
Anche questa opzione è decisamente credibile.
Mi sa che hai frainteso in testo dell'articolo, hanno messo in sicurezza gli account finiti in rete aka li avranno congelati, non hanno messo in sicurezza le credenziali di tutti gli utenti.
Di quale problema dovrebbero informare i propri utenti? Se il loro sistema non è stato bucato la situazione è tale e quale a prima. Devono informare chi ha avuto le proprie credenziali online quello si, ma è un discorso a parte.
Se entri nel tuo account le puoi disabilitare tutte.
E che dovrebbero ammettere prima di un fatto? Fare Nostradamus e dire che nel giorno X dell'anno Y qualcuno pubblicherà delle credenziali online? Hanno scritto che un gruppo di credenziali siano finite online e che non dipende da una violazione dei loro sistemi.
"aver messo in sicurezza tutti i profili le cui credenziali erano finite in rete" Hanno messo in sicurezza i profili come detto prima. Mettere in sicurezza i profili =/= cambiamo il sistema delle password nel sito.
Avrai avuto il tuo account compromesso
Anche Crunchyroll, basta che vai sul tuo profilo sul sito -> Impostazioni Gestione dei dispositivi, vedi quali hanno effettuato il log-in, il loro luogo geografico e la data dell'ultimo utilizzo. Se vuoi poi disattivarli da remoto.
Cambiare le password molto di frequente è proprio contro le linee guida che ci sono in merito.
PS. Mi piace rispondere alla gente, ma se non citi i singoli pezzi mi diventa molto complicato, sarebbe anche utile non fare 30 domande differenti e ripetute.
"Wondering if your Crunchyroll account might be compromised? Here are some suspicious signs to watch out for:
Your login credentials have changed unexpectedly.
You notice unfamiliar activity or changes on your account.
You have unrecognized devices registered to your account."
Ora mi spieghi che hai postato?
Abbiamo saputo del furto dai social e cr ha dato alla stampa un comunicato ma non ha informato via mail i suoi clienti.
In inglese poi, peccato che lo parlo.
Ma spiegami anche un'altra cosa!
Da utente non ti preoccupa che i tuoi dati siano finiti chissà dove?
La fuga non c'è stata?
E allora perché il comunicato che dice anche che
"Siamo consapevoli che le credenziali di accesso di diversi servizi di streaming, incluso Crunchyroll, sono state pubblicate sui social media ma abbiamo risolto il problema"
Che significa nessun problema ma lo abbiamo risolto?
Sul cambio pass: normalmente basterebbe cambiarla una volta ogni 6 mesi, si va cambiata anche se questo crea problemi sia all'utente che alla ditta.
Ma visti i precedenti con sony
https://www.hwupgrade.it/news/sicurezza-software/sony-confermate-le-violazioni-di-sicurezza-a-rischio-i-dati-personali-di-6800-dipendenti_120725.html
E visto che hanno anche la carta di credito meglio cambiarla spesso quella di cr.
Ma mai ho visto un utente che difende una impresa che ha , indirettamente , causato danni ai soi clienti.
L'utente si inc...avola mica trova scuse, campate in aria, per tranquillizare gli altri utenti.
L'utente vero, eh!
io non capisco cosa non capisci... il problema non era di una violazione dei loro server, ma della presenza su X di un elenco di utenti compromessi
ora come abbiano ottenuto questi dati, non si sa, potrebbero averli ottenuti anche tramite Malware, tramite pishing... insomma ognuno può pensare quello che vuole.
sta di fatto che il problema era l'elenco, non la violazione dei server cr (che non c'è stata)
aver risolto per CR significa "aver congelato" o disattivato quegli account compromessi.
fine della discussione, non c'è altro da capire.
E non ha dovere nel farlo se il furto non dipende da lei ed è avvenuto per motivi terzi.
Mi preoccupa si, se il furto fosse avvenuto per un buco di sicurezza dentro ai loro sistemi ovviamente vorrei saperlo
Per quello che hanno scritto nel comunicato non c'è stata dai loro sistemi. Non sappiamo come quelle credenziali siano finite online.
La risposta è nella frase successiva a quella che hai citato:
"Abbiamo protetto gli account interessati, indagato sulla situazione e stabilito che non esistono prove che i sistemi di Crunchyroll siano stati compromessi."
hanno protetto quegli account compromessi e hanno indagato internamente
Sono pessime politiche interne che non hanno senso di esistere, più cambi una password più gli utenti utilizzeranno stratagemmi per potersela ricordare, per esempio usare sempre le stesse parole, ma con un numero differente. Se non si possono usare sistemi passwordless come Passkey bisognerebbe usare password molto forti e che siano impossibili da ricordare.
Eh si adesso non sono un utente vero, sono parte del matrix delle mega corporazioni che prendono i tuoi dati e li vendono sul darkweb.
Inanzitutto chiedo scusa agli altri utenti, quelli veri, ma l'oggetto della discussione è grave,
Questa risposta mi fa venire i brividi.
Praticamente nella seconda citazione si dice che cr non sa come siano state rubate le credenziali .
Le gestisce ma non le custodisce!!
Lo hai scritto tu!
E non doveva informarci?
Beh non lo ha fatto , solo un comunicato dopo che la notizia ha fatto il giro dei social!
Comportamento corretto?
No visto che paghiamo noi utenti!
I dati sono importanti ma chi ce li chiede per il servizio non li conserva come si deve!
Questo hai scritto!
Stai facendo l'avvocato di una causa persa ma pagato?
Se non c'è il problema perché mi rispondi?
Se scrivo cavolate sono un troll, no?
E ai troll si risponde?
E qui veniamo al resto della risposta.
Un continuo minimizzare il problema,ma hai una coscienza o anche quella ha un prezzo?
Ma lo stupido sono io che ti rispondo per il motivo di sopra.
CAMBIO CONSIGLIO!!!
USATE CHRUNCYROLL CON PRIME E' PIU' SICURO!
E lo hai detto tu che non sanno come sono finitei rete le credenziali che hanno il dovere di custodire!
E hai ammesso che sono finite in rete!
Come?
Non lo sanno!
Adios bbello!
Adesso Crunchyroll ti deve anche installare l'anti virus sul PC? Ci sono mille modi in cui possono esser state trafugate
L'azienda deve informare in caso di data breach nei loro sistemi
"nega la violazione dei suoi sistemi"
Faccio un esempio, oggi prendo le mie credenziali e le metto su qualche forum sul darkweb, Crunchyroll c'entrerebbe qualcosa con questo fatto? No. Il loro sistema sarebbe stato violato dal mio gesto? No. Le credenziali sarebbero finite in rete? Si. Crunchyroll saprebbe come siano finite in rete? Difficile che possano scoprirlo.
Devi eseguire l'accesso per lasciare un commento.