Reklama

najnovší únik Spotify môže byť ešte najpodivnejší. Na Pastebin boli postriekané stovky účtov. K týmto účtom už bol prístup a mnohé z nich zmenili svoje e-maily. Ale nielenže nevieme, kto je za únikom, Spotify je neústupný, že nebol hacknutý. Tak čo je naozaj deje sa?

Aby som to zistil, dohodol som si rozhovor s Kevinom Shahbazim, bezpečnostným expertom a generálnym riaditeľom firmy na správu hesiel LogMeOnce. Kevin si vybudoval meno v bezpečnostnom priemysle. Založil niekoľko rôznych infosec spoločností, z ktorých jedna - Trust Digital, ktorá sa špecializuje na zabezpečenie smartphonov na podnikovej úrovni - bola získala spoločnosť McAfee v roku 2010.

Odbornosť Kevina v oblasti bezpečnosti je nepopierateľná a chcel som zistiť, čo urobil pri tomto poslednom porušení údajov. V záplave e-mailov zaslaných v utorok večer som ho griloval na toho, kto by mohol byť za únikom informácií, čo bolo také zlé na reakcii Spotify a čo môžu dotknutí používatelia urobiť, aby sa chránili.

Anatómia úniku

instagram viewer

Keď debutuje Ashley Madison prasklo ako prezretý ananásový melón Ashley Madison Leak Žiadny veľký problém? Zamysli sa znovaDiskrétna stránka s diskrétnou online zoznamkou Ashley Madison (zameraná predovšetkým na podvádzanie manželov / manželiek). Je to však oveľa vážnejší problém, ako sa uvádza v tlači, čo má značné dôsledky pre bezpečnosť používateľov. Čítaj viac , odhalila na temnej sieti temné tajomstvá miliónov. Zoznam údajov, ktorý meral v gigabajtoch, uvádzal všetko od biografických informácií o registrujúcich na webe až po ich špecifické sexuálne preferencie. Ako porovnáva únik Spotify?

„Pokiaľ ide o množstvo údajov, ktoré unikli, došlo len k spomenutiu, že došlo k ohrozeniu nešpecifikovaných„ stoviek “účtov. Informácie o účte, ako sú podrobnosti o platbe a informácie o kreditnej karte, neboli zahrnuté do úniku údajov, ale e-maily, používateľské mená, heslá, typ účtu a ďalšie podrobnosti o účte boli. “ - Kevin Shahbaz

Stále neexistujú informácie o tom, kto za útokom stojí, hoci ho uverejnil používateľ s menom ofDrakia12‘Na Pastebine. Kevin je otvorený možnosti, že samotný skládka nemusí byť úplne nový a namiesto toho pochádza z účtov, ktoré už boli presunuté na účet. temný web Cesta do skrytého webu: Sprievodca pre nových vedcovTáto príručka vás prevedie prehliadkou mnohých úrovní webov: databázami a informáciami dostupnými v akademických časopisoch. Nakoniec dorazíme k bránam Tor. Čítaj viac , a teraz vstupujú do širšieho obehu. Prihlasovacie údaje pre Spotify a ďalšie streamingové weby, ako je Netflix, je možné zakúpiť v rušnejších častiach internetu a podľa správa spoločnosti McAfee Labs, kybernetickí zločinci tieto prihlasovacie mená neustále rozširujú, akonáhle budú kompromitovaní “.

Kevin tiež naznačil, že za únikom môže byť útok „hrubej sily“ a povedal: „Ďalším možným zdrojom [úniku] je program používaný na „kombinovanie“ pomocou hesiel, alebo sa iba pokúša o niekoľko rôznych kombinácií hesiel, až kým nenájde správne one ".

Zdá sa to nepravdepodobné, pretože väčšina služieb teraz obmedzuje počet neúspešných pokusov o prihlásenie, ktoré môže používateľ vykonať. Nie je to však nemožné. V roku 2009 boli účty Ricka Sancheza, Billa O'Reillyho a Britney Spearsovej na Twitteri boli napadnutí hackermia uverejnili sa urážlivé správy.

sancheztwitter

Tento útok bol možný iba preto, že v tom čase Twitter neobmedzoval pokusy o prihlásenie a jeden správca mal slabé heslo do slovníka (To bolo "Šťastie").

Chcel som vedieť, ako je tento únik v porovnaní s inými vysokoprofilovými únikmi, ako sú Ashley Madison, PlayStation Network a Mate1. Kevin povedal, že na rozdiel od iných významných únikov to Spotify „nevlastní“. Neberú zodpovednosť. Dodal tiež, že „nie sú aktívni pri ochrane informácií svojich zákazníkov“. Shahbazi sa tiež obáva, že únik by mohol byť predohrou niečoho oveľa väčšieho.

„Zverejnením malej vzorky údajov mohli údajní hackeri jednoducho chcieť dať Spotify do obranného postavenia. Potom, po krátkom čase, keď dojia účet, pravdepodobne zverejnia zvyšok výpisu údajov. Ak je to ich cieľ, potom by malo dôjsť k väčšiemu rozpakom a vedenie by mohlo skončiť stratou svojej pozície v Spotify. “ - Kevin Shahbazi

Prečo Spotify?

Asi najviac znepokojujúce je hackovanie Spotify je to, že je taký nepravdepodobný cieľ. Pre kybernetických zločincov láka kompromitovanú PayPal alebo účet online bankovníctva Je online bankovníctvo bezpečné? Väčšinou je tu 5 rizík, o ktorých by ste mali vedieťO online bankovníctve je toho veľa. Je to pohodlné, môže vám to zjednodušiť život, dokonca môžete dosiahnuť lepšiu mieru úspor. Je však internetové bankovníctvo také bezpečné a bezpečné, ako by malo byť? Čítaj viac je nepopierateľný. Spotify však nie je finančnou inštitúciou. Je to hudobný web. Spýtal som sa Kevina, prečo by na neho mohol hacker zacieliť.

„Hodnota útoku na Spotify alebo iné podobné služby sa medzi hackermi a hackermi líši. V tomto prípade sa zdá, že transparentnosť je najpravdepodobnejším motívom nedávneho úniku, aby sa verejnosti ukázala, že ich informácie nie sú nevyhnutne bezpečné na platforme av konečnom dôsledku spôsobujú rozpaky so značkou. “ - Kevin Shahbaz

Mnoho ľudí sa rozhodlo prepojiť svoje účty Facebook so službou Spotify. Zjednodušuje sa prihlásenie a zvyšuje sa tým aj sociálny rozmer služby. Používatelia môžu zdieľať svoje obľúbené skladby so svojimi priateľmi a získavať odporúčania.

Profile

Mohlo by to viesť k ďalším bolestiam pre postihnutých používateľov? Potenciálne povedal Kevin. Najmä ak používateľ používa duplicitné heslo.

„Duplicitné heslá (alebo opakované použitie jedného hesla v rôznych službách) môžu byť potenciálnym problémom. Pretože ktokoľvek má teraz prístup k stovkám prihlásení do Spotify, dáva im to kľúč ku všetkým iným účtom a službám, ktoré používajú únikové heslo). “ - Kevin Shahbazi

Reakcia Spotify

Vzhľadom na vysoký profil spoločnosti Spotify bolo nevyhnutné, aby spoločnosť nakoniec zažila určitý druh bezpečnostného problému. Ale v tomto prípade to bolo prekvapivo nezraniteľné o všetkom.

„Kým [v minulosti] boli proaktívni pri resetovaní hesiel používateľov pre účty, ktoré sa zdajú byť napadnuté hackermi, a hovorili, že často skenujú stránky ako Keď sa dostali za poverenia Spotify, neurobili tak s najnovším údajným hackom, napriek tomu, že sa stovky poverení Spotify objavujú online. “ - Kevin Shahbaz

Dotknutí zákazníci sa museli aktívne obrátiť na spoločnosť Spotify, aby znovu získali prístup k svojim účtom. Podľa príspevkov na Twitteri a rôznych článkov v technologickej tlači to nebola ľahká úloha. Bohužiaľ, toto nie je ojedinelá udalosť pre Spotify.

„Spotify poprel existenciu podobných údajných hackov, ktoré sa údajne odohrali v novembri 2015 a znova tento minulý február. Celkovo sú verejné vyhlásenia spoločnosti Spotify v rozpore so skúsenosťami ich zákazníkov. “ - Kevin Shahbazi

Kevin si nie je istý, prečo bol Spotify tak vehementne nepriehľadný o existencii (alebo inak) hacku, alebo či sa stal obeťou chyby používateľa. Obáva sa však, že „ich nedostatočná transparentnosť poškodzuje iba ich značku, povesť a predovšetkým ich zákazníkov“.

Čo môžu postihnutí používatelia robiť?

Presakovanie bolo doslova postihnuté stovkami používateľov. Existuje veľmi reálna možnosť, že došlo k ohrozeniu viacerých účtov, ale ešte sme ich neprešli. Spýtal som sa Kevina, aké opatrenia by mali používatelia Spotify prijať, aby sa chránili.

„Či už sú hackeri napadnutí alebo nie, všetci používatelia služby Spotify by si mali byť vedomí svojich účtov. Pre tých, ktorých informácie boli ohrozené, by mali okamžite zmeniť svoje prihlasovacie informácie pre všetkých účty, ktoré používali rovnaké heslo, ako aj monitorovať všetky finančné účty, s ktorými je možné prepojiť Spotify. Musia tiež kontaktovať spoločnosť Spotify, aby im dali vedieť o probléme s ich účtom, ako aj problém resetovali. “ - Kevin Shahbazi

LeakedAccounts

Kevin dodal, že tí, ktorí mali to šťastie, že neboli zahrnutí do výpisu údajov, by mali tiež prijať preventívne opatrenia. Odporúča, aby všetci používatelia obnovili svoje heslá a na všetkých zariadeniach, na ktorých je nainštalovaný Spotify, sa používatelia odhlásili a potom sa znova prihlásili. Zdôraznil tiež nebezpečenstvo spoliehania sa na duplicitné heslá.

„Je to ďalší prípad, v ktorom sa duplicitné heslá vracajú na škodu tým, ktorí hľadajú ľahký prístup k viacerým účtom. Aj keď sa to môže zdať, že prihlasovacie informácie spoločnosti Spotify boli napadnuté hackermi a všetky ostatné účty sú v bezpečí, ak bolo duplicitné heslo použité, mohlo by sa to použiť na úspešné prihlásenie k iným účtom využívajúcim tieto informácie, čím sa vytvára dominový efekt. “ - Kevin Shahbaz

Prevencia je lepšia ako liečba

Je nemožné, aby spotrebitelia zabránili úniku svojich údajov pomocou služby, ktorú používajú, pretože to nie je v ich rukách. Služba musí mať osvedčené bezpečnostné postupy a dobrú hygienu hesla. Čo však môžu spotrebitelia urobiť, aby obmedzili svoje vystavenie budúcim únikom? Kevin opätovne zdôraznil, že používatelia by sa mali vyhnúť duplicite hesiel a podľa možnosti používať dvojfaktorové overenie.

„Ďalším spôsobom, ako môžu čitatelia zaistiť bezpečnosť svojich hesiel, je využitie dvojfaktorové overenie (2FA) Čo je dvojfaktorové overenie a prečo by ste ho mali používaťDvojfaktorová autentifikácia (2FA) je bezpečnostná metóda, ktorá vyžaduje dva rôzne spôsoby preukázania vašej identity. Bežne sa používa v každodennom živote. Napríklad platenie kreditnou kartou si vyžaduje nielen kartu, ... Čítaj viac , kde sú používatelia okrem hesla povinní poskytnúť ďalšie informácie, napr odtlačok prsta, PIN alebo bezpečnostnú otázku, ktorú by mohli poskytnúť iba oni. “ - Kevin Shahbaz

Nie je prekvapením, že spoločnosť Kevin odporúča používať správcu hesiel, aby bolo možné bezpečne uchovávať zložité heslá. Povedal "správca hesiel Ako správcovia hesiel udržiavajú vaše heslá v bezpečíHeslá, ktoré sa ťažko dajú prelomiť, sa tiež ťažko pamätajú. Chcete byť v bezpečí? Potrebujete správcu hesiel. Takto fungujú a ako vás udržiavajú v bezpečí. Čítaj viac predstavuje jednoduchý spôsob, ako zabrániť hackerom v tom, aby spôsobili váš život. Tieto šifrujú heslá v bezpečnom „trezore“, ku ktorému má používateľ prístup prostredníctvom jedného hlavného hesla. “ Dodal, že tieto uľahčujú používanie bezpečných a zložitých hesiel.

„Existuje veľa bezplatných a spoľahlivých správcov hesiel. Uistite sa, že používate seriózny. Mnohé z nich robia viac, než len ukladajú svoje heslo, takže hľadajte tie, ktoré používajú „injekciu“ na vkladanie hesiel do správnych polí, namiesto jednoduchého kopírovania a vkladania zo schránky. To vám pomôže vyhnúť sa útokom pomocou keyloggerov. “ - Kevin Shahbazi

Zabalenie

Pravdepodobne je Kevina znepokojená miernou reakciou spoločnosti Spotify na to, že sa na Pastebin nastriekali stovky používateľov. Či je tento únik jednorazový, alebo či naznačuje niečo väčšie, zostáva.

Pokúsili sme sa skontaktovať sa so spoločnosťou Spotify, aby sme sa vyjadrili k tomuto príbehu, ale nepodarilo sa nám to. Ak sa dozvieme od spoločnosti, aktualizujeme tento článok s jeho odpoveďou.

Kredity obrázkov: Vdovichenko Denis / Shutterstock.com

Matthew Hughes je vývojár a spisovateľ softvéru z anglického Liverpoolu. Málokedy ho nájde bez šálky silnej čiernej kávy v ruke a úplne zbožňuje jeho Macbook Pro a fotoaparát. Jeho blog si môžete prečítať na stránke http://www.matthewhughes.co.uk a sledujte ho na Twitteri na adrese @matthewhughes.