Disney sa att lösenord för Disney Plus-konton som säljs i underjordiska hackforum kommer från tidigare intrång hos andra företag, före förra veckans lansering av sin streamingtjänst.

Företaget upprepade på onsdagen att det inte hittat några bevis för ett säkerhetsintrång och att kontoproblem är begränsade till "en mycket liten andel användare" av Disney Plus.

Disney och andra traditionella medieföretag försöker fånga de prenumerationsintäkter som nu går till Netflix och andra streamingjättar. Med hjälp av kampanjer, inklusive ett gratis år för vissa Verizon-kunder, Disney Plus lockade 10 miljoner prenumeranter den första dagen.

Nyhetssajten ZDNet hittade stulna kontoanvändarnamn och lösenord som såldes för $3 på underjordiska hackforum. Disneys streamingtjänst kostar $7 i månaden eller $70 per år.

Trots varningar från säkerhetsexperter, användare återanvänder ofta lösenord på flera tjänster, vilket innebär att ett intrång på en öppnar dörren för en hackare att få tillgång till de andra.

Användare kan enkelt undvika detta genom att använda starka lösenord som är unika för varje tjänst, sa Troy Hunt, en australisk säkerhetsforskare vars "Have I Been Pwned?" webbplatsen varnar människor när deras identitetsinformation blir stulen.

Men Hunt sa att Disney borde implementera bättre säkerhetsåtgärder.

"Disney-situationen verkar vara ännu en inloggningsattack där hackare utnyttjar en kombination av kunder som återanvänder lösenord och tjänsteleverantören inte tillhandahåller tillräckligt försvar för att stoppa det, " sa Hunt i ett mejl.

Paul Rohmeyer, en professor vid Stevens Institute of Technology i Hoboken, New Jersey, sa att han är förvånad över att streamingtjänster ännu inte har implementerat bättre säkerhet som multifaktorautentisering.

Med multifaktorautentisering, användare måste ange en kod som skickas som ett sms eller e-post när de loggar in från en ny enhet. Koden hjälper till att säkerställa att personer som använder stulna lösenord eller gissar dem inte kan använda en tjänst utan att också ha tillgång till den legitima användarens telefon eller e-postkonto.

Rohmeyer sa att tjänster kan vara tveksamma till att implementera hårdare säkerhet eftersom de inte vill ses som mer obekväma än konkurrenterna.

Multifaktorautentisering är ett alternativ för många icke-streamingtjänster, inklusive Google, Facebook och Apple, men den extra säkerheten måste vara påslagen. Disney Plus kräver koder som skickas via e-post när du byter kontolösenord, men den använder dem inte för att logga in från nya enheter.

Multifaktorautentisering är svårare att implementera för tjänster som delas i hushåll, eftersom flera användare skulle behöva åtkomst till samma telefon eller e-postkonto. Medan Disney Plus, Netflix och Hulu låter familjemedlemmar skapa sina egna profiler, med separata bevakningslistor och preferenser, de delar alla samma användarnamn och lösenord. Apple TV Plus kommer runt detta genom att låta varje familjemedlem logga in med ett separat Apple-ID.

© 2019 The Associated Press. Alla rättigheter förbehållna.