Securitate

Cum Spotify a lovit, și de ce ar trebui să aveți grijă

Cum Spotify a lovit, și de ce ar trebui să aveți grijă / Securitate

Cea mai recentă scurgere Spotify ar putea fi cea mai ciudată. Sute de conturi au fost stropite pe Pastebin. Aceste conturi au fost deja accesate, multe dintre ele având schimbarea emailurilor. Dar nu numai că nu știm cine este în spatele scurgerii, Spotify este adamant că nu a fost hacked. Deci ce-i într-adevăr continuă?

Pentru a afla, am aranjat un chat cu Kevin Shahbazi, expert în securitate și CEO al companiei de gestionare a parolelor LogMeOnce. Kevin și-a construit un nume în industria de securitate. El a lansat mai multe companii infosec diferite, dintre care unul - Trust Digital, care se specializează în securitatea smartphone-urilor la nivel de întreprindere - a fost achiziționat de McAfee în 2010.

Experiența lui Kevin în domeniul securității este incontestabilă și am vrut să aflu ce a făcut din această încălcare a ultimelor date. Într-o agitație de e-mailuri trimise într-o seară de marți, l-am grilat pe cine s-ar putea afla în spatele scurgerii, ceea ce a fost atât de rău cu răspunsul lui Spotify și cu ce pot afecta utilizatorii pentru a se proteja.

Anatomia scurgerii

Când dezastrul lui Ashley Madison a apărut ca un cantalou de suprapuneri Ashley Madison Leak No Big Deal? Gândește-te din nou Ashley Madison nu scapă nici o mare afacere? Gândiți-vă din nou Discreet site-ul de dating site-ul Ashley Madison (vizat în primul rând la partenerii de înșelăciune) a fost hacked. Totuși, aceasta este o problemă mult mai serioasă decât cea prezentată în presă, cu implicații considerabile pentru siguranța utilizatorilor. Citește mai mult, a dezvăluit secretele sordide ale milioane de oameni pe webul Întunecat. Spațiul de date, care a măsurat în gigaocteți, a indicat totul din informațiile biografice ale solicitanților înregistrării site-ului, chiar și în preferințele sexuale de nișă. Cum se compară scurgerea Spotify?

“În ceea ce privește cât de mult s-au scurs date, nu s-a menționat decât că o "sute de" conturi nespecificate au fost compromise. Informațiile despre cont, cum ar fi detaliile de plată și informațiile din cardul de credit, nu au fost incluse în scurgere, dar e-mailurile, numele de utilizator, parolele, tipul contului și detaliile contului suplimentare au fost.” - Kevin Shahbazi

Nu există încă informații despre cine a fost în spatele atacului, deși a fost publicat de un utilizator sub numele de "Drakia12pe Pastebin. Kevin este deschis la posibilitatea ca depozitul în sine să nu fie tot atât de nou, și în schimb a venit din conturile care au fost deja scurgeri pe "Călătoria Întunericului Web" în "Web ascuns": Un ghid pentru cercetători noi Călătorie în Web ascuns: Ghid Pentru cercetători noi Acest manual vă va face un tur prin numeroasele niveluri ale web profundă: baze de date și informații disponibile în reviste academice. În sfârșit, ajungem la porțile lui Tor. Citiți mai multe și acum intră într-o circulație mai largă. Log-in-urile pentru Spotify și alte site-uri de streaming precum Netflix sunt disponibile pentru achiziționarea pe părțile muritoare ale Internetului și conform unui raport al McAfee Labs, aceste logare sunt transmise continuu de infractorii cibernetici după ce au fost compromise”.

Kevin a sugerat de asemenea că a “forta bruta” atac ar putea fi în spatele scurgeri, spunând, “O altă sursă posibilă [a scurgerii] este un program folosit pentru a "combina" prin parole sau doar pentru a încerca mai multe combinații de parole diferite până când se găsește una corectă”.

Acest lucru pare puțin probabil, deoarece majoritatea serviciilor limitează acum numărul de încercări de conectare eșuate pe care le poate face un utilizator. Cu toate acestea, nu este imposibil. În 2009, conturile de Twitter ale lui Rick Sanchez, Bill O'Reilly și Britney Spears au fost compromise de hackeri și au fost postate mesaje ofensive.

Acest atac a fost posibil numai pentru că, în acel moment, Twitter nu a limitat încercările de conectare, iar un administrator a avut o parolă de dicționar slabă (a fost “fericire”).

Voiam să știu cum această scurgere, în comparație cu alte scurgeri de profil, cum ar fi scurgerile Ashley Madison, PlayStation Network și Mate1. Kevin a spus că, spre deosebire de alte pierderi notabile, Spotify nu este “care deține” aceasta. Nu-și asumă responsabilitatea. Nici nu, a adăugat el, sunt ei “fiind proactiv în protejarea informațiilor clienților”. Shahbazi este, de asemenea, îngrijorat de faptul că scurgerea ar putea fi întunericul ceva mult mai mare.

“Prin publicarea unui mic eșantion de date, presupuși hackeri ar fi vrut pur și simplu să pună Spotify într-o poziție defensivă. Apoi, după o scurtă perioadă de timp, după ce au dat lapte contului, probabil vor publica restul dumpului de date. Dacă acesta este obiectivul lor, atunci va veni mai multă jena și directorii ar putea să-și piardă pozițiile la Spotify.” - Kevin Shahbazi

De ce spotify?

Poate că ceea ce este cel mai nedumerit despre hack-ul Spotify este că este o astfel de țintă puțin probabilă. Pentru un infractor cibernetic, atracția unui Cont PayPal compromis sau a unui cont bancar online este online bancară sigură? De cele mai multe ori, dar aici sunt 5 riscuri pe care ar trebui să știți despre banca on-line în siguranță? Majoritatea, dar aici sunt 5 riscuri pe care ar trebui să știți despre Există o mulțime de a plăcea despre online banking. Este convenabil, vă poate simplifica viața, ați putea obține chiar și ratele de economisire mai bune. Dar banca online este la fel de sigură și sigură cum ar trebui să fie? Citește mai mult este de necontestat. Dar Spotify nu este o instituție financiară. Este un site de muzică. L-am întrebat pe Kevin de ce ar putea să-l vadă un hacker.

“Valoarea în atacarea Spotify, sau alte servicii similare, variază de la hacker la hacker. În acest caz, transparența pare a fi motivul cel mai probabil din spatele scurgerii recente, pentru a arăta publicului că informațiile sale nu sunt neapărat securizate de platformă și, în cele din urmă, provoacă jenă brandului.” - Kevin Shahbazi

Mulți oameni aleg să le conecteze conturile Facebook cu Spotify. Acest lucru simplifică logarea și, de asemenea, adaugă o dimensiune socială serviciului. Utilizatorii pot să-și împărtășească piesele preferate cu prietenii lor și să primească recomandări.

Ar putea duce la dureri suplimentare pentru utilizatorii afectați? Potențial, a spus Kevin. Mai ales dacă utilizatorul folosește o parolă duplicat.

“Dublarea parolelor (sau reutilizarea unei singure parole între diferite servicii) ar putea fi o problemă potențială. Deoarece oricine poate accesa acum sute de intrări Spotify, acest lucru le oferă cheia tuturor celorlalte conturi și servicii care utilizează parola scursă).” - Kevin Shahbazi

Răspunsul lui Spotify

Având în vedere profilul sporit al companiei Spotify, a fost inevitabil ca, în cele din urmă, compania să se confrunte cu o problemă de securitate. Dar, în acest caz, a fost surprinzător de nonchalant despre tot.

“În timp ce [în trecut] au fost proactivi în resetarea parolelor utilizatorilor pentru conturi care par a fi hacked și au spus că adesea scanează site-uri ca Pastebin pentru acreditările Spotify, nu au făcut-o cu cele mai recente hack-uri presupuse, în ciuda sutelor din acreditările Spotify care apar online.” - Kevin Shahbazi

Clienții afectați au fost nevoiți să ajungă activ la Spotify pentru a-și recupera accesul la conturile lor. Potrivit postărilor de pe Twitter și a diverselor articole din presa tehnologică, aceasta nu a fost o sarcină ușoară. Din păcate, acest lucru nu este un eveniment izolat pentru Spotify.

“Spotify a negat existența unor presupuse hack-uri care se presupune că au avut loc în noiembrie 2015 și din nou în februarie trecută. În general, declarațiile publice ale Spotify contrazic experiențele clienților lor.” - Kevin Shahbazi

Kevin nu este sigur de ce Spotify a fost atât de vehement opac cu privire la existența (sau altfel) a unei hack-uri sau dacă a fost victima unei erori de utilizator. Cu toate acestea, el este îngrijorat de asta “lipsa lor de transparență le face rău doar brand-ul, reputația și, mai ales, clienții lor”.

Ce pot face utilizatorii afectați?

În mod literal, sute de utilizatori au fost afectați de scurgere. Există o posibilitate foarte reală ca mai multe conturi să fie compromise, dar nu au fost încă scurgeri. L-am întrebat pe Kevin ce măsuri ar trebui să le ia utilizatorii Spotify pentru a se proteja.

“Fie că sunt hackeri sau nu, toți utilizatorii Spotify ar trebui să fie conștienți de conturile lor. Pentru cei ale căror informații au fost compromise, aceștia ar trebui să schimbe imediat informațiile de conectare pentru orice conturi care utilizează aceeași parolă, precum și să monitorizeze orice conturi financiare care ar putea fi legate de Spotify. De asemenea, trebuie să contacteze Spotify pentru a le comunica problema cu contul lor, precum și pentru ao reseta.” - Kevin Shahbazi

Kevin a adăugat că cei care au fost suficient de norocoși să nu fie incluși în depozitul de date ar trebui, de asemenea, să ia măsuri de precauție. El recomandă tuturor utilizatorilor să-și reinițializeze parolele, iar pe toate dispozitivele în care este instalat Spotify, utilizatorii se deconectează și apoi se conectează. De asemenea, a subliniat pericolele de a se baza pe parolele duplicate.

“Acesta este încă un caz în care parolele duplicate revin pentru a dăuna celor care caută accesul la mai multe conturi. Deși poate părea că informațiile de conectare ale Spotify au fost hackate și toate celelalte conturi sunt sigure, dacă a fost utilizată o parolă duplicată, aceasta ar putea fi utilizată pentru a vă conecta cu succes la alte conturi utilizând aceste informații, creând un efect de domino.” - Kevin Shahbazi

Prevenirea este mai bună decât tratamentul

Este imposibil pentru consumatori să împiedice scurgerea datelor de către un serviciu pe care îl folosesc, deoarece nu este în mâinile lor. Serviciul trebuie să aibă bune practici de securitate și o bună igienă a parolelor. Dar ce pot face consumatorii pentru a-și limita expunerea la scurgerile viitoare? Kevin a reiterat faptul că utilizatorii ar trebui să evite parolele duplicate și, acolo unde este posibil, să utilizeze autentificarea cu două factori.

“Un alt mod prin care cititorii pot asigura securitatea parolei este puternic prin utilizarea autentificării cu doi factori (2FA). Ce este autentificarea cu doi factori și de ce ar trebui să-l utilizați? Ce este autentificarea cu doi factori și de ce ar trebui să o utilizați doi factori autentificare (2FA) este o metodă de securitate care necesită două modalități diferite de a vă demonstra identitatea. Este frecvent utilizat în viața de zi cu zi. De exemplu, plata cu cardul de credit necesită nu numai cardul, ... Citește mai mult, unde, în plus față de o parolă, utilizatorii trebuie să furnizeze o altă informație, cum ar fi o amprentă, un PIN sau o întrebare de securitate, capabil să ofere.” - Kevin Shahbazi

Normal, Kevin recomandă utilizarea unui manager de parole, pentru a stoca în siguranță parole complexe. El a spus “un manager de parole Cum managerii de parole păstrează parolele în siguranță Cum managerii de parole păstrează parolele dvs. Securitatea parolelor care sunt greu de crack sunt, de asemenea, greu de reținut. Vrei să fii în siguranță? Aveți nevoie de un manager de parole. Iată cum funcționează și cum vă păstrează în siguranță. Citește mai mult este o modalitate simplă de a împiedica hackerii să facă rău asupra vieții tale. Acestea criptează parolele într-un "seif" securizat, pe care utilizatorul poate accesa printr-o singură parolă principală.” El a adăugat că acestea fac mai ușoară utilizarea parolelor complexe, sigure și complexe.

“Există mulți manageri de parole, cu siguranță, de încredere. Asigurați-vă că utilizați unul reputațional. Mulți dintre ei fac mai mult decât pur și simplu să vă păstreze parola, așa că căutați pe cei care le folosesc “injecţie” pentru a introduce parole în câmpurile corecte, în loc să copiați și să le lipiți din clipboard. Acest lucru vă ajută să evitați să fiți atacați prin intermediul keyloggerilor.” - Kevin Shahbazi

Înfășurarea în sus

Kevin, poate chiar pe bună dreptate, este deranjat de răspunsul ușor de către Spotify la sute de conturi de utilizator care sunt pulverizate pe Pastebin. Indiferent dacă această scurgere este o singură dată sau dacă indică ceva mai mare care trebuie să vină, rămâne de văzut.

Am încercat să contactăm Spotify pentru a comenta această poveste, dar nu au putut să o facă. Dacă vom auzi din companie, vom actualiza acest articol cu ​​răspunsul său.

Credite de imagine: Vdovichenko Denis / Shutterstock.com

Explorați mai multe despre: încălcarea securității, Spotify.