Cum s-a înțepat Spotify și de ce ar trebui să-ți pese

Publicitate

ultima scurgere a Spotify ar putea fi cel mai ciudat încă. Sute de conturi au fost stropite pe Pastebin. Aceste conturi au fost deja accesate, mulți avându-și modificat e-mailurile. Dar nu numai că nu știm cine este în spatele scurgerii, Spotify este sigur că nu a fost piratat. Deci ce-i într-adevăr se întâmplă?

Pentru a afla, am organizat o discuție cu Kevin Shahbazi, expert în securitate și CEO al firmei de administrare a parolelor LogMeOnce. Kevin și-a construit un nume în industria securității. El a lansat mai multe companii infosec diferite, dintre care una - Trust Digital, specializată în securitatea smartphone-ului la nivel de întreprindere - a fost achiziționat de McAfee în 2010.

Experiența lui Kevin în domeniul securității este incontestabilă și am vrut să aflu ce a făcut din această ultimă încălcare a datelor. Peste o serie de e-mailuri trimise într-o marți seară, l-am grăbit cu privire la cine ar putea fi în spatele scurgerii, ce a fost atât de greșit cu răspunsul lui Spotify și ce pot face utilizatorii afectați pentru a se proteja.

Anatomia scurgerii

Când debordarea Ashley Madison a apărut ca un cantaloupe în exces Ashley Madison nu are nicio ofertă mare? Mai gandeste-teSite-ul discret de întâlniri online Ashley Madison (vizat în primul rând pentru soții înșelători) a fost hacked. Cu toate acestea, aceasta este o problemă mult mai serioasă decât a fost prezentată în presă, cu implicații considerabile pentru siguranța utilizatorului. Citeste mai mult , a expus secretele sordide ale milioanelor pe rețeaua Întunericului. Descărcarea de date, care a fost măsurată în gigabytes, a enumerat totul, de la informațiile biografice ale solicitanților site-ului, până la preferințele lor de sex. Cum se compară scurgerile Spotify?

„În ceea ce privește cantitatea de date scurse, s-a menționat doar faptul că un„ sute ”de conturi nespecificate au fost compromise. Informații despre cont, precum detaliile de plată și informațiile despre cardul de credit nu au fost incluse în scurgere, dar e-mailurile, numele de utilizator, parolele, tipul contului și detaliile suplimentare ale contului au fost. " - Kevin Shahbazi

Încă nu există informații despre cine a fost în spatele atacului, deși a fost publicat de un utilizator cu numele de „Drakia12„Pe Pastebin. Kevin este deschis posibilității ca gunoiul în sine să nu mai fie atât de nou și, în schimb, a venit din conturi care au fost deja scurse Webul Întunecat Călătorie în site-ul ascuns: un ghid pentru cercetătorii noiAcest manual vă va conduce într-un tur prin numeroasele niveluri ale web-ului profund: baze de date și informații disponibile în reviste academice. În sfârșit, vom ajunge la porțile Tor. Citeste mai mult și intră acum într-o circulație mai largă. Conectările pentru Spotify și alte site-uri de streaming, cum ar fi Netflix, sunt disponibile pentru a fi achiziționate de pe părțile mai pline de internet și conform un raport McAfee Labs, aceste autentificări sunt circulate continuu de cibernetici odată ce au fost compromise ”.

Kevin a sugerat, de asemenea, că un atac de „forță brută” ar putea fi în spatele scurgerii, spunând: „O altă sursă posibilă [a scurgerii] este o program folosit pentru a „pieptena” prin parole sau pur și simplu încercați mai multe combinații diferite de parole până când va găsi corect unu".

Acest lucru pare puțin probabil, deoarece majoritatea serviciilor limitează acum cantitatea de încercări de autentificare eșuate pe care le poate face un utilizator. Cu toate acestea, nu este imposibil. În 2009, conturile de Twitter ale lui Rick Sanchez, Bill O´Reilly și Britney Spears au fost compromise de hackeriși mesaje jignitoare au fost postate.

Acest atac a fost posibil doar pentru că, la acea vreme, Twitter nu a limitat încercările de conectare și un administrator a avut o parolă slabă a dicționarului (a fost "fericire").

Am vrut să știu cum este această scurgere în comparație cu alte scurgeri de profil, cum ar fi Ashley Madison, PlayStation Network și Mate1. Kevin a spus că spre deosebire de alte scurgeri notabile, Spotify nu îl „deține”. Nu își asumă responsabilitatea. Nici el, a adăugat el, „nu sunt proactive în protejarea informațiilor clienților lor”. Șahbazi se teme, de asemenea, că scurgerea ar putea fi o depășire a ceva mult mai mare.

„Publicând un mic eșantion de date presupuse hackeri ar fi putut pur și simplu să fi vrut să pună Spotify într-o poziție defensivă. Apoi, după o scurtă perioadă de timp, după ce au muls contul, vor publica, probabil, restul depozitului de date. Dacă acesta este obiectivul lor, atunci va veni mai multă jenă, iar directorii ar putea ajunge să-și piardă poziția la Spotify. ” - Kevin Shahbazi

De ce Spotify?

Poate că ceea ce este cel mai chinuitor în legătură cu hack-ul Spotify este faptul că este o țintă atât de puțin probabilă. Pentru un criminal-criminal, atragerea unui PayPal compromis sau cont bancar online Este bancar online în siguranță? Mai ales, dar aici sunt 5 riscuri despre care ar trebui să știțiÎn ceea ce privește serviciile bancare online, există multe lucruri care vă plac. Este convenabil, îți poate simplifica viața, s-ar putea să obții și rate de economie mai bune. Dar o bancă online este la fel de sigură și sigură pe cât ar trebui să fie? Citeste mai mult este incontestabil. Dar Spotify nu este o instituție financiară. Este un site web de muzică. L-am întrebat pe Kevin de ce un hacker l-ar putea viza.

„Valoarea de a ataca Spotify sau alte servicii similare variază de la hacker la hacker. În acest caz, transparența pare a fi motivul cel mai probabil în spatele scurgerii recente, pentru a arăta publicului că informațiile nu sunt în mod necesar securizate cu platforma și, în cele din urmă, provoacă jenă pentru marcă. " - Kevin Shahbazi

Mulți oameni aleg să-și conecteze conturile de Facebook cu Spotify. Acest lucru simplifică conectarea și adaugă o dimensiune socială serviciului. Utilizatorii pot împărtăși piesele preferate cu prietenii lor și pot primi recomandări.

Acest lucru ar putea duce la durere suplimentară pentru utilizatorii afectați? Potențial, a spus Kevin. Mai ales dacă utilizatorul utilizează o parolă duplicată.

„Parolele duplicate (sau reutilizarea unei singure parole pe diferite servicii) ar putea fi o problemă potențială. Deoarece oricine poate accesa acum sute de autentificări Spotify, acest lucru le oferă cheia oricăror alte conturi și servicii care utilizează parola scursă. " - Kevin Shahbazi

Răspunsul lui Spotify

Având în vedere profilul ridicat al lui Spotify, a fost inevitabil ca compania să se confrunte cu un fel de problemă de securitate. Dar, în acest caz, a fost surprinzător de neclară în legătură cu toate.

„În timp ce [în trecut] au fost proactivi în resetarea parolelor utilizatorilor pentru conturile care par a fi hackate și au spus că scanează adesea site-uri precum Pastebin pentru acreditările Spotify, nu au făcut acest lucru cu cel mai recent presupus hack, în ciuda a sute de acreditări Spotify care apar online. " - Kevin Shahbazi

Clienții afectați au fost nevoiți să contacteze activ Spotify pentru a-și recăpăta accesul la conturile lor. Conform postărilor pe Twitter și a diverselor articole din presa tehnologică, aceasta nu a fost o sarcină ușoară. Din păcate, acesta nu este un eveniment izolat pentru Spotify.

„Spotify a negat existența unor presupuse bare similare care se presupune că au avut loc în noiembrie 2015 și din nou în februarie trecut. În general, declarațiile publice ale Spotify contrazic experiențele clienților lor. " - Kevin Shahbazi

Kevin nu este sigur de ce Spotify a fost atât de vehement opac în legătură cu existența (sau altfel) a unui hack sau dacă a fost victima erorii utilizatorului. Cu toate acestea, el se îngrijorează că „lipsa lor de transparență nu face decât să le afecteze marca, reputația și, mai ales, clienții”.

Ce pot face utilizatorii afectați?

Literalmente sute de utilizatori au fost afectați de scurgeri. Există o posibilitate foarte reală de a fi compromise mai multe conturi, dar nu au fost încă scurse. L-am întrebat pe Kevin ce măsuri ar trebui să ia utilizatorii Spotify pentru a se proteja.

„Fie că sunt hacked sau nu, toți utilizatorii Spotify ar trebui să cunoască conturile lor. Pentru cei ale căror informații au fost compromise, ar trebui să își schimbe imediat informațiile de conectare pentru orice conturi care au utilizat aceeași parolă, precum și monitorizarea oricăror conturi financiare la care pot fi legate Spotify. Ei trebuie să contacteze și Spotify pentru a le informa despre problema cu contul lor, precum și pentru a-l reseta. ” - Kevin Shahbazi

Kevin a adăugat că cei care au norocul să nu fie incluși în depozitul de date ar trebui să ia, de asemenea, măsuri de precauție. El recomandă tuturor utilizatorilor să își reseteze parolele, iar pe toate dispozitivele unde este instalat Spotify, utilizatorii se deconectează, apoi se autentifică. El a subliniat, de asemenea, pericolele bazării pe parole duplicate.

„Acesta este încă un caz în care parolele duplicate revin pentru a dăuna celor care caută ușurința accesului la mai multe conturi. Deși poate părea că informațiile de conectare ale Spotify au fost hacked și toate celelalte conturi sunt în siguranță, dacă o parolă duplicată a fost folosit, poate fi folosit pentru a vă conecta cu succes la alte conturi care utilizează informațiile respective, creând un efect de domino. - Kevin Shahbazi

Prevenirea este mai bună decât vindecarea

Este imposibil pentru consumatori să împiedice datele lor să fie eliminate de un serviciu pe care îl folosesc, întrucât nu sunt în mâinile lor. Serviciul trebuie să aibă bune practici de securitate și o igienă bună a parolelor. Dar ce pot face consumatorii pentru a-și limita expunerea la scurgeri viitoare? Kevin a subliniat că utilizatorii ar trebui să evite parolele duplicate și, dacă este posibil, să utilizeze autentificarea cu doi factori.

„Un alt mod prin care cititorii își pot asigura securitatea parolelor este puternic prin utilizarea autentificare cu doi factori (2FA) Ce este autentificarea cu doi factori și de ce ar trebui să o utilizațiAutentificarea cu doi factori (2FA) este o metodă de securitate care necesită două moduri diferite de a vă dovedi identitatea. Este frecvent utilizat în viața de zi cu zi. De exemplu, plata cu un card de credit nu necesită doar cardul, ... Citeste mai mult , unde, pe lângă o parolă, utilizatorii trebuie să furnizeze o altă informație, cum ar fi o amprentă, un PIN sau o întrebare de securitate, pe care numai ei ar putea să le furnizeze. " - Kevin Shahbazi

Nu este surprinzător, Kevin recomandă utilizarea unui manager de parole, pentru a stoca parolele complexe. El a spus "un manager de parole Modul în care managerii de parole păstrează parolele în siguranțăParolele greu de reținut sunt, de asemenea, greu de reținut. Vrei să fii în siguranță? Ai nevoie de un manager de parole. Iată cum funcționează și cum vă păstrează în siguranță. Citeste mai mult este o modalitate simplă de a împiedica hackerii să vă facă ravagii în viața voastră. Aceste criptează parolele într-o „boltă” securizată, pe care utilizatorul o poate accesa printr-o parolă principală. ” El a adăugat că acestea facilitează utilizarea parolelor sigure și complexe.

„Există numeroși manageri de parole gratuite și fiabile. Asigurați-vă că îl utilizați pe unul de renume. Mulți dintre ei fac mai mult decât pur și simplu să stocheze parola, așa că căutați cele care folosesc „injecția” pentru a insera parole în câmpurile corecte, mai degrabă decât să copieze și să lipiți din clipboard. Acest lucru vă ajută să evitați să fiți atacat prin intermediul keyloggerilor. ” - Kevin Shahbazi

Înveliți

Kevin, poate pe bună dreptate, este tulburat de răspunsul ușor din partea Spotify la sute de conturi ale utilizatorilor lor fiind pulverizate pe Pastebin. Rămâne de văzut dacă această scurgere este unică sau dacă indică ceva mai mare.

Am încercat să luăm legătura cu Spotify pentru comentarii despre această poveste, dar nu am putut să facem acest lucru. Dacă auzim din nou compania, vom actualiza acest articol cu ​​răspunsul său.

Credite imagine: Vdovichenko Denis / Shutterstock.com