Streamingdienst Roku heeft de wachtwoorden van 576.000 accounts gereset die door middel van een credential stuffing-aanval waren gekaapt. Daarnaast is voor alle accounts tweefactorauthenticatie (2FA) ingeschakeld. Dat heeft het bedrijf gisterenavond bekendgemaakt. Eerder dit jaar meldde Roku al dat 15.000 accounts door middel van credential stuffing in handen van criminelen waren gekomen. Nadat de aanvallers toegang tot de accounts hadden gekregen probeerden ze streamingabonnementen aan te schaffen.

Na ontdekking van de aanval in januari zegt Roku dat het ook een tweede aanval heeft ontdekt, waarbij 576.000 accounts werden gecompromitteerd. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen.

De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Roku laat weten dat het een aantal maatregelen implementeert om credential stuffing-aanvallen in de toekomst te detecteren en voorkomen. Tevens heeft het van alle 576.000 accounts de wachtwoorden gereset en zal het slachtoffers hierover informeren.

Voor een niet nader genoemd aantal gebruikers zal Roku de kosten vergoeden die zijn ontstaan doordat de aanvallers via het gecompromitteerde account streamingabonnementen of hardware aanschaften. Roku roept gebruikers op om een uniek wachtwoord voor hun Roku-account aan te maken van minimaal acht karakters. Verder is voor alle tachtig miljoen Roku-accounts 2FA ingeschakeld. Wanneer gebruikers willen inloggen ontvangen ze op hun e-mailaccount een verificatielink waarmee kan worden ingelogd.