Oglas

najnovije Spotify curenje možda je najčudnija do sada. Stotine računa zapljusnulo je Pastebin. Tim računima je već pristupljeno, a mnogi su promijenili svoju e-poštu. Ali ne samo da ne znamo tko stoji iza curenja, Spotify je neodlučan da nije bio hakiran. Pa što stvarno ići na?

Da bih to saznao dogovorio sam razgovor s Kevinom Shahbazijem, stručnjakom za sigurnost i izvršnim direktorom tvrtke za upravljanje lozinkama LogMeOnce. Kevin je sebi izgradio ime u sigurnosnoj industriji. Osnovao je nekoliko različitih infosec tvrtki, od kojih je jedna - Trust Digital, koja se specijalizirala za sigurnost pametnih telefona na razini poduzeća. kojeg je McAfee kupio 2010. godine.

Kevinovo znanje u sigurnosnom području je nesporno i želio sam otkriti što je napravio o ovom posljednjem kršenju podataka. Kroz gomilu e-poruka poslanih u utorak navečer rekao sam mu tko možda stoji iza curenja, što je bilo tako pogrešno u odgovoru Spotifyja i što pogođeni korisnici mogu učiniti da se zaštite.

Anatomija curenja

instagram viewer

Kad je Ashley Madison debacirala iskočio poput prezrele kantalope Ashley Madison nije puštala velike ponude? Razmisli ponovnoDiskretna internetska stranica za upoznavanje Ashley Madison (usmjerena prvenstveno na varanje supružnika) hakirana je. Međutim, ovo je daleko ozbiljnije pitanje nego što je opisano u tisku, s znatnim posljedicama na sigurnost korisnika. Čitaj više , razotkrio je sumorne tajne milijuna na Mračnom webu. Deponiranje podataka, koje se mjeri u gigabajtima, popisalo je sve, od biografskih podataka registrara web mjesta, pa čak i do njihovih seksualnih sklonosti niša. Kako se uspoređuje curenje Spotifyja?

„Što se tiče podataka koliko je procurilo, samo se spominje da je ugrožena neodređena„ stotina “računa. Podaci o računu kao što su podaci o plaćanju i podaci o kreditnim karticama nisu uključeni u curenje, ali e-adrese, korisnička imena, lozinke, vrsta računa i dodatne pojedinosti računa bili su. " - Kevine Shahbazi

Još uvijek nema podataka o tome tko stoji iza napada, iako ga je korisnik objavio pod nazivom "Drakia12'Na Pastebin. Kevin je otvoren za mogućnost da sam deponij možda i nije toliko nov, i umjesto toga dolazi s računa koji je već procurio u Mračni Web Putovanje u skriveni web: Vodič za nove istraživačeOvaj priručnik vodi vas u obilazak mnogih razina dubokog weba: baze podataka i informacija dostupnih u akademskim časopisima. Napokon ćemo stići do Torinih vrata. Čitaj više , a sada ulaze u širi tiraž. Prijave za Spotify i druge web stranice za streaming poput Netflixa dostupne su za kupnju na mračnijim dijelovima Interneta, a prema izvješće McAfee Labs, tim prijavama kontinuirano cirkuliraju cyber-kriminalci nakon što su ugroženi ".

Kevin je također nagovijestio da iza curenja može biti napad "grube sile", rekavši, "Drugi mogući izvor [curenja] je program koji se koristi za 'češljanje' lozinkom ili samo pokušati više različitih kombinacija zaporki dok ne utvrdi da su ispravne jedan".

To se čini malo vjerojatnim, jer većina usluga sada ograničava količinu neuspjelih pokušaja prijave koji korisnik može napraviti. Međutim, to nije nemoguće. 2009. godine, Twitter računi Ricka Sancheza, Billa O'Reillyja i Britney Spears bili su kompromitirani od strane hakerai objavljene su uvredljive poruke.

sancheztwitter

Ovaj je napad bio moguć samo zato što tada Twitter nije ograničavao pokušaje prijave, a jedan administrator imao je slabu lozinku za rječnik (bilo je "sreća").

Želio sam znati kako to propuštanje u usporedbi s drugim visokim propustima, kao što su Ashley Madison, PlayStation Network i Mate1. Kevin je rekao da za razliku od ostalih značajnih propuštanja, Spotify ga ne "posjeduje". Ne preuzimaju odgovornost. Također, dodao je, nisu "aktivne u zaštiti podataka svojih kupaca". Shahbazi se također brine da bi curenje moglo biti zamišljeno za nešto puno veće.

„Objavljivanjem malog uzorka podataka navodni su hakeri možda jednostavno htjeli staviti Spotify u obrambeni položaj. Nakon kraćeg vremena, nakon što uplate račun, vjerojatno će objaviti ostatak zbirke podataka. Ako im je to cilj, uslijedi će još veća sramota, a rukovoditelji bi mogli izgubiti mjesto na Spotifyu. " - Kevin Shahbazi

Zašto Spotify?

Možda je ono što najviše zbunjuje u vezi s hakiranjem Spotifya to da je to tako malo vjerovatno meta. Na cyber-kriminalca, laž kompromitiranog PayPala ili internetski bankarski račun Je li internetsko bankarstvo sigurno? Uglavnom, ali ovdje je 5 rizika o kojima biste trebali znatiMnogo se sviđa internetskom bankarstvu. To je zgodno, može vam pojednostaviti život, čak možete dobiti bolje stope uštede. No, je li internetsko bankarstvo jednako sigurno i sigurno? Čitaj više neosporna je. Ali Spotify nije financijska institucija. To je glazbena web stranica. Pitao sam Kevina zašto je haker mogao ciljati.

„Vrijednost napada na Spotify ili druge slične usluge varira od hakera do hakera. U ovom se slučaju čini da je transparentnost najvjerojatniji motiv iza nedavnog propuštanja, kako bi se javnosti pokazalo da su njihovi informacije nisu nužno sigurne s platformom i, u konačnici, uzrokuju sramotu za marku. " - Kevine Shahbazi

Mnogi ljudi odluče povezati svoje Facebook račune s Spotifyjem. To pojednostavljuje prijavu, a također dodaje društvenu dimenziju usluzi. Korisnici mogu podijeliti svoje omiljene zapise sa svojim prijateljima i dobiti preporuke.

Profil

Može li to dovesti do daljnje boli kod pogođenih korisnika? Potencijalno, rekao je Kevin. Pogotovo ako korisnik koristi duplikanu lozinku.

"Duplikatne lozinke (ili ponovna upotreba jedne lozinke u različitim uslugama) mogu biti potencijalni problem. Budući da sada svi mogu pristupiti stotinama prijava Spotify-a, to im daje ključ za sve druge račune i usluge koji koriste procurjenu lozinku). " - Kevin Shahbazi

Spotifyjev odgovor

S obzirom na visoki profil Spotifyja, bilo je neizbježno da će tvrtka s vremenom osjetiti neku vrstu sigurnosnih problema. Ali u ovom je slučaju bilo iznenađujuće nonšalantno u svemu.

"Iako su [u prošlosti] bili proaktivni u resetiranju korisničkih lozinki za račune za koje se čini da su hakirani i rekli su da često skeniraju web mjesta kao Pastebin za Spotify vjerodajnice, to nisu učinili s najnovijim navodnim hakiranjem, unatoč stotinama vjerodajnica Spotifyja koje se pojavljuju na mreži. " - Kevine Shahbazi

Pogođeni kupci morali su aktivno kontaktirati Spotify kako bi dobili pristup svojim računima. Prema objavama na Twitteru i raznih članaka u tehnološkoj štampi, to nije bio lak zadatak. Nažalost, ovo za Spotify nije izolirani događaj.

„Spotify je negirao postojanje sličnih navodnih hakova koji su se navodno dogodili u studenom 2015. i opet ove protekle veljače. Općenito, javne izjave Spotifyja suprotne su iskustvima njihovih kupaca. " - Kevin Shahbazi

Kevin nije siguran zašto je Spotify toliko oštro nejasan o postojanju (ili na neki drugi način) haka ili je li žrtva pogreške korisnika. Međutim, on se brine da "njihov nedostatak transparentnosti samo šteti njihovoj marki, reputaciji i ponajviše kupcima".

Što mogu učiniti pogođeni korisnici?

Bukvalno su stotine korisnika zahvatile curenje. Postoji vrlo realna mogućnost da je ugroženo više računa, ali još uvijek nisu procurili. Pitao sam Kevina koje mjere Spotify korisnici trebaju poduzeti kako bi se zaštitili.

“Bez obzira na to jesu li hakirani ili ne, svi korisnici Spotifya trebali bi biti svjesni svojih računa. Oni kojima su podaci ugroženi trebali bi odmah promijeniti svoje podatke za prijavu za bilo koji računi koji koriste istu lozinku, kao i nadgledati sve financijske račune koji mogu biti povezani Spotify. Oni također moraju kontaktirati Spotify kako bi ih obavijestili o problemu sa svojim računom kao i da ga resetiraju. " - Kevin Shahbazi

LeakedAccounts

Kevin je dodao da oni koji imaju dovoljno sreće da nisu uključeni u deponiju podataka također trebaju poduzeti mjere opreza. Preporučuje da svi korisnici resetiraju zaporke, a na svim uređajima na kojima je instaliran Spotify, korisnici se odjavljuju i ponovo prijavljuju. Također je naglasio opasnost oslanjanja na dvostruke lozinke.

"Ovo je još jedan slučaj u kojem se vraćaju dvostruke lozinke kako bi naštetili onima koji traže lak pristup više računa. Iako se može činiti da su podaci za prijavu Spotifyja hakirani i svi ostali računi sigurni, ako je dvostruka lozinka ako se koristi, mogao bi se upotrijebiti za uspješnu prijavu na druge račune koristeći te informacije, stvarajući domino efekt. " - Kevine Shahbazi

Prevencija je bolja od izlječenja

Potrošačima nije moguće spriječiti da njihove podatke procuri usluga koju koriste jer to nije u njihovim rukama. Usluga mora imati dobre sigurnosne postupke i dobru higijenu lozinke. Ali što potrošači mogu učiniti kako bi ograničili svoju izloženost budućim propuštanjima? Kevin je ponovno naglasio da korisnici trebaju izbjegavati dvostruke lozinke i, kad je to moguće, koristiti dvofaktornu provjeru autentičnosti.

"Još jedan način na koji čitatelji mogu osigurati da im lozinka bude jaka jest upotreba dvofaktorska provjera autentičnosti (2FA) Što je dvofaktorska provjera autentičnosti i zašto biste je trebali koristitiDvofaktorna autentifikacija (2FA) sigurnosna je metoda koja zahtijeva dva različita načina dokazivanja vašeg identiteta. Uobičajeno se koristi u svakodnevnom životu. Na primjer, plaćanje kreditnom karticom ne zahtijeva samo karticu, ... Čitaj više , gdje su korisnici, pored zaporke, dužni pružiti još jedan podatak, poput otisak prsta, PIN ili sigurnosno pitanje koje će im omogućiti samo oni. " - Kevine Shahbazi

Ne iznenađuje da Kevin preporučuje upotrebu upravitelja lozinki, kako bi se sigurno pohranile složene lozinke. On je rekao "upravitelj lozinki Kako menadžeri lozinki čuvaju vaše lozinkeTeško je upamtiti i lozinke koje je teško probiti. Želite biti sigurni? Trebate upravitelja lozinki. Evo kako rade i kako vas čuvaju. Čitaj više jednostavan je način sprječavanja hakera da pustoše na vaš život. Te šifrirajuće lozinke u sigurnom "trezoru" kojima korisnik može pristupiti putem jedne glavne lozinke. " Dodao je da ovi olakšavaju upotrebu sigurnih, složenih lozinki.

"Postoje mnogi besplatni, pouzdani upravitelji lozinki. Obavezno koristite renomirani. Mnogi od njih ne spremaju samo zaporku, pa potražite one koje pomoću injekcije koriste za umetanje lozinki u ispravna polja, a ne samo za kopiranje i lijepljenje iz međuspremnika. To vam pomaže da izbjegnete napad preko keyloggera. " - Kevin Shahbazi

Završavati

Kevina, možda s pravom, uznemiruje blagi odgovor Spotifyja na stotine njihovih korisničkih računa raspršene Pastebinom. Hoće li ovo puštanje biti jednokratno ili je pokazatelj nečeg većeg tek treba vidjeti.

Pokušali smo stupiti u kontakt sa Spotifyjem radi komentiranja ove priče, ali nismo uspjeli. Ako nam se javimo iz tvrtke, ažurirat ćemo ovaj članak s njegovim odgovorom.

Slikovni krediti: Vdovichenko Denis / Shutterstock.com

Matthew Hughes je programer i pisac softvera iz Liverpoola u Engleskoj. Rijetko se nađe bez šalice jake crne kave u ruci i apsolutno obožava svoj Macbook Pro i svoj fotoaparat. Njegov blog možete pročitati na http://www.matthewhughes.co.uk i slijedite ga na twitteru na @matthewhughes.