Streamingdienst Roku heeft een onbekend aantal ongeautoriseerde abonnementen geannuleerd en klanten vergoed nadat criminelen via een credential stuffing-aanval meer dan vijftienduizend accounts hadden gekaapt. Volgens Roku maakten de aanvallers gebruik van inloggegeven die bij andere partijen waren gestolen.

Getroffen Roku-gebruikers gebruikten hetzelfde wachtwoord van die diensten voor hun Roku-account, waardoor de aanvallers konden inloggen. Nadat de aanvallers toegang tot de accounts hadden gekregen probeerden ze streamingabonnementen aan te schaffen. Na ontdekking van de aanval heeft Roku de wachtwoorden van getroffen accounts gereset om verder misbruik te voorkomen. Daarnaast werden ongeautoriseerde abonnementen geannuleerd en de kosten hiervan aan slachtoffers vergoed.

Uit een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine blijkt dat de aanvallers via de credential stuffing-aanval toegang tot meer dan vijftienduizend accounts kregen. Bij een dergelijk aanval worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen.

De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Roku roept getroffen gebruikers op om de abonnementen van hun account te controleren en voor elk online account een uniek en sterk wachtwoord te gebruiken. Roku had vorig jaar naar eigen zeggen meer dan tachtig miljoen actieve accounts en een omzet van 3,4 miljard dollar.