मार्च में यह सामने आने के बाद कि सुरक्षा उल्लंघन में लगभग 15,000 खाते प्रभावित हुए थे , मैंने रोकू को थोड़ा कठिन समय दिया था। निष्पक्ष होने के लिए, वह उल्लंघन पूरी तरह से रोकू की गलती नहीं थी क्योंकि यह क्रेडेंशियल स्टफिंग के माध्यम से किया गया था। यह वह विधि है जिसके द्वारा किसी अन्य लीक से क्रेडेंशियल्स का उपयोग किया जाता है और बस विभिन्न अन्य सेवाओं में इस उम्मीद में प्रयास किया जाता है कि आपने कहीं पासवर्ड का पुन: उपयोग किया है। उस हमले में 15,000 से अधिक हिट हुए।
यह काफी बुरा है. इससे भी बुरी बात यह थी कि रोकू के पास अभी भी दो-कारक प्रमाणीकरण नहीं था, जिससे दुष्टों को क्रेडेंशियल्स का दूसरा सेट रखने की आवश्यकता होती और कई अनधिकृत प्रविष्टियों को रोका जा सकता था।
लेकिन जाहिर तौर पर वहां से चीजें वास्तव में खराब हो गईं। रोकू ने आज घोषणा की कि 15,000 खातों के उल्लंघन की जांच मेंदूसरे हमले का खुलासा हुआ , "जिसने लगभग 576,000 अतिरिक्त खातों को प्रभावित किया।" (संदर्भ के लिए, 2023 के अंत में रोकू के 80 मिलियन सक्रिय खाते थे।)
पहले हमले की तरह, रोकू का कहना है कि "संभावना है कि इन हमलों में इस्तेमाल किए गए लॉगिन क्रेडेंशियल किसी अन्य स्रोत से लिए गए थे, जैसे किसी अन्य ऑनलाइन खाते से, जहां प्रभावित उपयोगकर्ताओं ने समान क्रेडेंशियल्स का उपयोग किया होगा।" दूसरे शब्दों में, अधिक प्रमाणिक सामग्री। रोकू का कहना है कि 400 से भी कम मामलों में उन खातों से जुड़ी भुगतान विधियों का उपयोग करके अनधिकृत खरीदारी या स्ट्रीमिंग सदस्यता देखी गई।
वह सब बुरा है. वास्तव में बहुत बुरा। (विशेषकर उन 400 खातों के लिए जिनमें वास्तव में पैसे बदले गए।)
Roku अंततः 2FA को सक्षम बनाती है
अगर इससे कोई अच्छी खबर आती है, तो वह यह है कि रोकू ने आखिरकार दो-कारक प्रमाणीकरण सक्षम कर दिया है। की तरह। सबसे पहले, रोकू ने दूसरे उल्लंघन की घोषणा करते हुए अपनी पोस्ट में क्या कहा:
“सूचना सुरक्षा के प्रति हमारी चल रही प्रतिबद्धता के एक भाग के रूप में, हमने सभी Roku खातों के लिए दो-कारक प्रमाणीकरण (2FA) सक्षम किया है, यहां तक कि उन लोगों के लिए भी जो इन हालिया घटनाओं से प्रभावित नहीं हुए हैं। परिणामस्वरूप, अगली बार जब आप अपने Roku खाते में ऑनलाइन लॉग इन करने का प्रयास करेंगे, तो आपके खाते से जुड़े ईमेल पते पर एक सत्यापन लिंक भेजा जाएगा, और खाते तक पहुंचने से पहले आपको ईमेल में दिए गए लिंक पर क्लिक करना होगा। ।”
वह दूसरा भाग महत्वपूर्ण है. Roku द्वारा लागू किया गया मुख्य दो-कारक प्रमाणीकरण यह है कि यह आपको प्रमाणीकरण के द्वितीयक रूप के रूप में, ईमेल के माध्यम से एक लिंक भेजेगा। यह कुछ न होने से बेहतर है. यदि किसी कारण से आप लिंक पर क्लिक करने के लिए अपने ईमेल तक नहीं पहुंच पाते हैं तो आप अपनी डिवाइस आईडी के अंतिम पांच अंक भी दर्ज कर सकते हैं।
आपको जो नहीं मिलता वह कोई विकल्प है। आप यह नहीं चुन सकते हैं कि दो-कारक प्रमाणीकरण "मैजिक लिंक" द्वारा किया जाता है (जिसमें कंपनी आपको एक्सेस स्वीकृत करने के लिए एक अस्थायी लिंक भेजती है), या एसएमएस या प्रमाणक ऐप के माध्यम से समय-आधारित कोड द्वारा किया जाता है। या कोई और तरीका. मेरा मानना है कि यह दुनिया का अंत नहीं है। ईमेल किया गया लिंक काफी हद तक बाधा रहित होता है – बशर्ते कि ईमेल खाते से भी समझौता न किया गया हो।
लेकिन यह भी मुद्दों से रहित नहीं है।
पोस्ट-2एफए डिवाइस सक्रियण
चीज़ों का परीक्षण करने के लिए, मैंने अपना Roku खाता पासवर्ड रीसेट कर दिया है। बाद के सभी लॉगिन रोकू द्वारा मुझे क्लिक करने के लिए एक लिंक के साथ एक ईमेल भेजने के साथ समाप्त हो गए हैं, जैसा कि रोकू ने कहा था कि ऐसा होगा। यह वेब ब्राउज़र में ठीक काम करता है। मैं अपने ईमेल और पासवर्ड से लॉग इन करता हूं, फिर रोकू द्वारा मुझे क्लिक करने के लिए एक लिंक भेजने के लिए कुछ सेकंड प्रतीक्षा करता हूं। यही बात Roku ऐप में लॉग इन करने के लिए भी लागू होती है।
लेकिन हार्ड रीसेट के बाद Roku स्ट्रीमिंग स्टिक में लॉग इन करने का प्रयास करते समय मुझे समस्याओं का सामना करना पड़ा। यहां दो विकल्प हैं. एक के साथ, Roku डिवाइस टीवी पर एक QR कोड प्रदर्शित कर सकता है। इसे अपने फ़ोन से स्कैन करें, और आपको अपने ईमेल और पासवर्ड का उपयोग करके लॉग इन करने के लिए कहा जाएगा। काफी आसान। और वह लॉगिन आपको ईमेल के माध्यम से एक लिंक भेजेगा जिस पर क्लिक करने से पहले आप वास्तव में उस डिवाइस पर कुछ भी करने में सक्षम होंगे जिसे आप सक्रिय करने का प्रयास कर रहे हैं। केवल, ऐसा प्रतीत नहीं होता कि प्रमाणीकरण डिवाइस पर वापस आ गया है।
लेकिन यदि आप वह विकल्प चुनते हैं जिसके द्वारा आप Roku रिमोट का उपयोग करके मैन्युअल रूप से अपना ईमेल टाइप करते हैं, तो आपको एक अलग दिखने वाला ईमेल भेजा जाएगा। उस लिंक पर क्लिक करें, और आपका Roku डिवाइस प्रमाणित और सक्रिय हो जाएगा, जैसा कि उसे होना चाहिए। दूसरे शब्दों में, ऐसा लगता है कि क्यूआर कोड विधि आपको आपके खाते में लॉग इन करने का प्रयास कर रही है, जबकि मैन्युअल विधि डिवाइस को ठीक से सक्रिय करने का प्रयास कर रही है।
रोकू का कहना है कि वह इस हिस्से पर गौर कर रहा है।
वास्तव में निराशाजनक हिस्सा
यह वास्तव में उतना कठिन नहीं होना चाहिए। दो-कारक प्रमाणीकरण विशेष रूप से नया नहीं है। और जबकि कोई भी 2FA स्पष्ट रूप से किसी भी लॉगिन योजना में जटिलता की एक परत जोड़ता है – और यदि Roku किसी चीज़ के लिए जाना जाता है, तो वह सरलता है – 2FA भी एक ऐसी चीज़ है जिसका उपयोग उपयोगकर्ता वर्षों से करते आ रहे हैं।
रोकू को कुछ चीज़ें करने की ज़रूरत है। सबसे महत्वपूर्ण यह है कि इसे डिवाइस प्रमाणीकरण को ठीक करने की आवश्यकता है। यदि आप QR कोड का उपयोग करने का प्रयास करते हैं तो यह आसानी से टूट जाता है। (अच्छी खबर यह है कि यह सर्वर-साइड फिक्स होना चाहिए।) इससे आपको प्रमाणीकरण की अपनी विधि चुनने की अनुमति मिलनी चाहिए। इसे लागू होने में थोड़ा अधिक समय लगने की संभावना है। लेकिन यह देखते हुए कि Roku को वर्षों पहले उचित 2FA सेटअप होना चाहिए था, यह शायद ही कोई बहाना है।
सुरक्षा हमेशा एक कठिन लड़ाई रहेगी। बुरे लोगों के लिए आक्रामक खेलना बहुत आसान है। बचाव महंगा और समय लेने वाला है। लेकिन इसका महत्व कम नहीं हो रहा है. रोकू को अभी भी बेहतर करने की जरूरत है।