Strona główna Bezpieczeństwo Jak Spotify został ukąszony i dlaczego powinieneś się tym przejmować

Jak Spotify został ukąszony i dlaczego powinieneś się tym przejmować

  • Joseph Goodman
  • 0
  • 3629
  • 498
Reklama

Najnowszy wyciek Spotify może być najdziwniejszy jak dotąd. Setki kont zostały przelane na Pastebin. Dostęp do tych kont już uzyskano, a wielu z nich zmieniło swoje e-maile. Ale nie tylko nie wiemy, kto stoi za wyciekiem, Spotify jest przekonany, że nie został zhakowany. Więc co naprawdę dziać się?

Aby się tego dowiedzieć, umówiłem się na czat z Kevinem Shahbazim, ekspertem ds. Bezpieczeństwa i dyrektorem generalnym firmy zarządzającej hasłami LogMeOnce. Kevin wyrobił sobie markę w branży bezpieczeństwa. Założył kilka różnych firm infosec, z których jedna - Trust Digital, specjalizująca się w zabezpieczeniach smartfonów na poziomie przedsiębiorstwa - została przejęta przez McAfee w 2010 roku.

Doświadczenie Kevina w dziedzinie bezpieczeństwa jest niezaprzeczalne i chciałem dowiedzieć się, co zrobił o tym ostatnim naruszeniu danych. Ponad lawiną e-maili wysłanych we wtorek wieczorem zgromiłem go, kto może być za wyciekiem, co było tak nie tak z odpowiedzią Spotify i co dotknięci użytkownicy mogą zrobić, aby się chronić.

Anatomia wycieku

Kiedy klęska Ashleya Madisona wyskoczyła jak przejrzały kantalup Ashley Madison Leak No Big Deal? Pomyśl jeszcze raz Ashley Madison Leak Nic wielkiego? Think Again Dyskretny serwis randkowy Ashley Madison (skierowany głównie do oszustów) został zhakowany. Jest to jednak o wiele poważniejszy problem, niż przedstawiono w prasie, co ma znaczące konsekwencje dla bezpieczeństwa użytkowników. , odsłonił obrzydliwe sekrety milionów na Ciemnej Sieci. Zrzut danych, mierzony w gigabajtach, zawierał wszystko, od informacji biograficznych rejestrujących stronę, aż po niszowe preferencje seksualne. Jak wypada wyciek Spotify?

“Jeśli chodzi o ilość wycieków danych, wspomniano tylko, że zagrożone zostały nieokreślone „setki” kont. Informacje o koncie, takie jak szczegóły płatności i dane karty kredytowej, nie zostały uwzględnione wycieku, ale e-maile, nazwy użytkowników, hasła, typ konta i dodatkowe szczegóły konta były.” - Kevin Shahbazi

Nadal nie ma informacji o tym, kto stał za atakiem, chociaż został opublikowany przez użytkownika o nazwie „Drakia12na Pastebin. Kevin jest otwarty na możliwość, że sam zrzut może nie być aż tak nowy, a zamiast tego pochodził z kont, które wyciekły już do Dark Web Journey Int The The Hidden Web: Przewodnik dla nowych badaczy Podróż do The Hidden Web: A Guide Dla nowych badaczy Ten podręcznik zabierze Cię w podróż przez wiele poziomów głębokiej sieci: baz danych i informacji dostępnych w czasopismach akademickich. Wreszcie dotrzemy do bram Tor. i teraz wchodzą w szerszy obieg. Loginy do Spotify i innych witryn do przesyłania strumieniowego, takich jak Netflix, można kupić w bardziej mętnych częściach Internetu i zgodnie z raportem McAfee Labs, te loginy są stale rozpowszechniane przez cyberprzestępców, gdy zostaną naruszone”.

Kevin również wskazał, że a “brutalna siła” atak może być za wyciekiem, mówiąc, “Innym możliwym źródłem [przecieku] jest program służący do „przeczesywania” haseł lub po prostu próbowania wielu różnych kombinacji haseł, aż znajdzie właściwe”.

Wydaje się to mało prawdopodobne, ponieważ większość usług ogranicza obecnie liczbę nieudanych prób logowania. Nie jest to jednak niemożliwe. W 2009 r. Hakerzy przejęli konta Twittera Ricka Sancheza, Billa O'Reilly i Britney Spears, publikując obraźliwe wiadomości.

Ten atak był możliwy tylko dlatego, że w tym czasie Twitter nie ograniczał prób logowania, a jeden administrator miał słabe hasło do słownika (było to “szczęście”).

Chciałem wiedzieć, jak ten wyciek w porównaniu z innymi głośnymi wyciekami, takimi jak wycieki Ashley Madison, PlayStation Network i Mate1. Kevin powiedział, że w przeciwieństwie do innych znaczących wycieków, Spotify nie “posiadanie” to. Nie biorą odpowiedzialności. Dodał też, że nie są “aktywnie chronią informacje o swoich klientach”. Shahbazi martwi się również, że wyciek może być uwerturą czegoś znacznie większego.

“Publikując małą próbkę danych, rzekomo hakerzy mogli po prostu postawić Spotify na pozycji obronnej. Następnie po krótkiej chwili, po dojeniu konta, prawdopodobnie opublikują resztę zrzutu danych. Jeśli to jest ich cel, przyjdzie więcej zawstydzenia, a menedżerowie mogą stracić pozycje w Spotify.” - Kevin Shahbazi

Dlaczego Spotify??

Być może najbardziej zastanawiające w hakowaniu Spotify jest to, że jest tak mało prawdopodobnym celem. Dla cyberprzestępcy urok zaatakowanego konta PayPal lub bankowości internetowej Czy bankowość internetowa jest bezpieczna? Przeważnie, ale oto 5 zagrożeń, o których powinieneś wiedzieć, czy bankowość internetowa jest bezpieczna? Przeważnie, ale oto 5 rodzajów ryzyka, o których powinieneś wiedzieć. Bankowość internetowa ma wiele do powiedzenia. Jest to wygodne, może uprościć twoje życie, możesz nawet uzyskać lepsze stopy oszczędności. Ale czy bankowość internetowa jest tak bezpieczna, jak powinna być? jest niezaprzeczalne. Ale Spotify nie jest instytucją finansową. To muzyczna strona internetowa. Zapytałem Kevina, dlaczego haker może go zaatakować.

“Wartość w atakowaniu Spotify lub innych podobnych usług różni się w zależności od hakera. W tym przypadku przejrzystość wydaje się być najprawdopodobniej motywem ostatniego wycieku, aby pokazać opinii publicznej, że ich informacje niekoniecznie są bezpieczne na platformie, i ostatecznie powoduje zakłopotanie marki.” - Kevin Shahbazi

Wiele osób decyduje się połączyć swoje konta Facebook z Spotify. Upraszcza to logowanie, a także dodaje wymiar społecznościowy do usługi. Użytkownicy mogą udostępniać swoje ulubione utwory znajomym i otrzymywać rekomendacje.

Czy może to prowadzić do dalszego bólu dotkniętych użytkowników? Potencjalnie, powiedział Kevin. Zwłaszcza jeśli użytkownik używa zduplikowanego hasła.

“Powielone hasła (lub ponowne użycie jednego hasła w różnych usługach) może być potencjalnym problemem. Ponieważ każdy może teraz uzyskać dostęp do setek loginów Spotify, daje to klucz do wszystkich innych kont i usług, które używają wyciekającego hasła).” - Kevin Shahbazi

Odpowiedź Spotify

Biorąc pod uwagę wysoki profil Spotify, nieuniknione było, że firma w końcu doświadczy jakiegoś problemu z bezpieczeństwem. Ale w tym przypadku wszystko było zaskakująco nonszalanckie.

“Chociaż [w przeszłości] byli proaktywni w resetowaniu haseł użytkowników do kont, które wydają się być zhakowane, i powiedzieli, że często skanują witryny takie jak Pastebin w poszukiwaniu Spotify, ale nie zrobili tego z ostatnim rzekomym hackowaniem, pomimo setek poświadczeń Spotify pojawiających się online.” - Kevin Shahbazi

Dotknięci klienci musieli aktywnie skontaktować się z Spotify, aby odzyskać dostęp do swoich kont. Według postów na Twitterze i różnych artykułów w prasie technologicznej nie było to łatwe zadanie. Niestety, nie jest to pojedyncze wydarzenie dla Spotify.

“Spotify zaprzeczył istnieniu podobnych rzekomych ataków hakerskich, które rzekomo miały miejsce w listopadzie 2015 r. I ponownie w lutym ubiegłego roku. Ogólnie rzecz biorąc, publiczne oświadczenia Spotify są sprzeczne z doświadczeniami ich klientów.” - Kevin Shahbazi

Kevin nie jest pewien, dlaczego Spotify był tak nieprzejrzysty, jeśli chodzi o istnienie (lub w inny sposób) włamania, czy też padł ofiarą błędu użytkownika. Martwi się jednak tym “brak przejrzystości szkodzi tylko ich marce, reputacji, a przede wszystkim ich klientom”.

Co mogą zrobić użytkownicy, których to dotyczy??

Wyciek dotknął dosłownie setki użytkowników. Istnieje bardzo realna możliwość, że więcej kont zostało przejętych, ale nie zostały jeszcze ujawnione. Zapytałem Kevina, jakie środki powinni podjąć użytkownicy Spotify, aby się chronić.

“Bez względu na to, czy został zhakowany, czy nie, wszyscy użytkownicy Spotify powinni być świadomi swoich kont. Osoby, których dane zostały naruszone, powinny natychmiast zmienić dane logowania do wszystkich kont korzystających z tego samego hasła, a także monitorować wszelkie konta finansowe, które mogą być powiązane z Spotify. Muszą także skontaktować się ze Spotify, aby poinformować ich o problemie ze swoim kontem, a także o zresetowaniu.” - Kevin Shahbazi

Kevin dodał, że ci, którzy mieli tyle szczęścia, że ​​nie zostali włączeni do zrzutu danych, powinni również podjąć środki ostrożności. Zaleca wszystkim użytkownikom zresetowanie haseł, a na wszystkich urządzeniach, na których zainstalowano Spotify, użytkownicy wylogowują się, a następnie logują ponownie. Podkreślił również niebezpieczeństwa polegające na powielaniu haseł.

“Jest to kolejny przypadek, w którym powielają się hasła, aby zaszkodzić osobom szukającym łatwego dostępu do wielu kont. Chociaż może się wydawać, że włamano się do danych logowania Spotify, a wszystkie inne konta są bezpieczne, jeśli zastosowano duplikat hasła, można go z powodzeniem zalogować do innych kont przy użyciu tych informacji, tworząc efekt domina.” - Kevin Shahbazi

Zapobieganie jest lepsze niż leczenie

Konsumenci nie mogą zapobiec wyciekowi danych przez usługę, z której korzystają, ponieważ nie jest to w ich rękach. Usługa musi mieć dobre praktyki bezpieczeństwa i higienę haseł. Ale co mogą zrobić konsumenci, aby ograniczyć narażenie na przyszłe wycieki? Kevin ponownie podkreślił, że użytkownicy powinni unikać duplikatów haseł i, w miarę możliwości, stosować uwierzytelnianie dwuskładnikowe.

“Innym sposobem, w jaki czytelnicy mogą zapewnić bezpieczeństwo swojego hasła, jest użycie uwierzytelnienia dwuskładnikowego (2FA). Co to jest uwierzytelnianie dwuskładnikowe i dlaczego warto go używać Co to jest uwierzytelnianie dwuskładnikowe i dlaczego warto go używać dwuskładnikowo Uwierzytelnianie (2FA) to metoda bezpieczeństwa, która wymaga dwóch różnych sposobów potwierdzenia tożsamości. Jest powszechnie stosowany w życiu codziennym. Na przykład płatność kartą kredytową wymaga nie tylko karty…, gdzie oprócz hasła użytkownicy muszą podać jeszcze jedną informację, np. Odcisk palca, PIN lub pytanie zabezpieczające, że tylko oni będą w stanie zapewniać.” - Kevin Shahbazi

Nic dziwnego, że Kevin zaleca użycie menedżera haseł, aby bezpiecznie przechowywać złożone hasła. Powiedział “menedżer haseł Jak menedżerowie haseł dbają o bezpieczeństwo haseł Jak menedżerowie haseł dbają o bezpieczeństwo haseł Trudne do złamania hasła są również trudne do zapamiętania. Chcesz być bezpieczny? Potrzebujesz menedżera haseł. Oto jak działają i jak zapewniają ci bezpieczeństwo. to prosty sposób, aby zapobiec włamywaniu się hakerów do twojego życia. Szyfrują one hasła w bezpiecznym „skarbcu”, do którego użytkownik może uzyskać dostęp za pomocą jednego hasła głównego.” Dodał, że ułatwiają one korzystanie z bezpiecznych, złożonych haseł.

“Istnieje wiele bezpłatnych, niezawodnych menedżerów haseł. Upewnij się, że używasz renomowanego. Wiele z nich robi coś więcej niż tylko przechowywanie hasła, więc szukaj tych, które ich używają “iniekcja” wstawiać hasła w odpowiednich polach, a nie tylko kopiować i wklejać ze schowka. Pomaga to uniknąć ataków za pomocą keyloggerów.” - Kevin Shahbazi

Podsumowanie

Kevin, być może słusznie, jest zaniepokojony łagodną reakcją Spotify na setki kont użytkowników rozpylanych na Pastebin. Czy wyciek ten jest jednorazowy, czy wskazuje na coś większego, co dopiero nastąpi.

Próbowaliśmy skontaktować się ze Spotify w celu skomentowania tej historii, ale nie mogliśmy tego zrobić. Jeśli otrzymamy odpowiedź od firmy, zaktualizujemy ten artykuł wraz z odpowiedzią.

Kredyty obrazkowe: Vdovichenko Denis / Shutterstock.com




Jeszcze bez komentarzy

5 wysokiej jakości konwerterów e-booków online dla każdego formatu
Internet
Jak uzyskać bezpłatną nazwę domeny dla swojej witryny
Internet
Jak powiedzieć „dobrze zrobione” i „dziękuję” na LinkedIn z Kudos
Internet
O nowoczesnej technologii, prostej i niedrogiej.
Twój przewodnik w świecie nowoczesnych technologii. Dowiedz się, jak korzystać z technologii i gadżetów, które nas otaczają każdego dnia i dowiedz się, jak odkrywać ciekawe rzeczy w Internecie.