In einem Blogbeitrag des Unternehmens betont Roku, dass keine Anzeichen dafür vorlägen, dass die Anmeldeinformationen direkt von Roku-Systemen entwendet wurden. Wie es heißt, wurden im Rahmen der Sicherheitsüberwachung zunächst etwa 15.000 betroffene Accounts identifiziert, woraufhin das Unternehmen die betroffenen Kunden Anfang März informierte.

Weitere Untersuchungen ergaben jedoch, dass insgesamt 576.000 Konten von unbefugten Zugriffen betroffen waren. In weniger als 400 Fällen wurden über diese Accounts kostenpflichtige Streaming-Abonnements abgeschlossen oder neue Roku-Hardware gekauft. Die Täter sollen dabei allerdings keinen Zugang zu vollständigen Zahlungsinformationen gehabt haben.

Als direkte Reaktion auf die Sicherheitsverletzungen hat Roku die Zwei-Faktor-Authentifizierung (2FA) für alle Nutzerkonten obligatorisch gemacht. Bei jeder neuen Anmeldung muss nun eine Bestätigung über einen per E-Mail versendeten Link erfolgen. Darüber hinaus wurden die Passwörter aller betroffenen Konten zurückgesetzt. Roku hat zudem angekündigt, alle Kosten zu erstatten, die den Nutzern durch die unrechtmäßig getätigten Transaktionen entstanden sind.

Laut Roku wurde der Angriff durch das sogenannte Credential Stuffing möglich, bei dem Angreifer gestohlene Benutzernamen und Passwörter verwenden, um unbefugten Zugriff auf Benutzerkonten zu erlangen. Diese Anmeldeinformationen werden oft aus Datenlecks bei anderen Diensten gewonnen, die bereits kompromittiert wurden. Da viele Menschen dieselben Passwörter auf verschiedenen Plattformen verwenden, können die Angreifer diese gestohlenen Daten erfolgreich einsetzen, um sich in zahlreiche Konten einzuloggen.

Die Kriminellen nutzen automatisierte Tools, um mit den gestohlenen Daten massenhaft Anmeldeversuche bei verschiedenen Websites und Diensten durchzuführen. Dies kann zu unberechtigtem Zugang zu Konten führen, über die dann weitere betrügerische Handlungen wie Diebstahl persönlicher Informationen, unbefugte Käufe oder die Übernahme von Identitäten erfolgen können.

Um sich vor Credential Stuffing zu schützen, ist es ratsam, für jede Online-Plattform einzigartige und starke Passwörter zu verwenden und, wo möglich, die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren. Dies erhöht die Sicherheit der Konten, selbst wenn die Anmeldeinformationen kompromittiert sein sollten.