Hvordan Spotify blev stukket, og hvorfor du skal passe

  • Harry James
  • 0
  • 4841
  • 1367
Reklame

Den seneste Spotify-lækage er muligvis den underligste endnu. Hundredvis af konti er sprøjtet på Pastebin. Der er allerede adgang til disse konti, hvor mange har ændret deres e-mails. Men ikke kun ved vi ikke, hvem der ligger bag lækagen, Spotify holder fast, det er ikke blevet hacket. Så hvad er der? virkelig foregår?

For at finde ud af det arrangerede jeg en chat med Kevin Shahbazi, sikkerhedsekspert og administrerende direktør for password management firma LogMeOnce. Kevin har opbygget sig et navn i sikkerhedsbranchen. Han har lanceret flere forskellige infosec-virksomheder, hvoraf et - Trust Digital, der er specialiseret i smartphone-sikkerhed på virksomhedsniveau - blev erhvervet af McAfee i 2010.

Kevins ekspertise inden for sikkerhedsområdet er ubestridelig, og jeg ønskede at finde ud af, hvad han gjorde ved dette seneste dataovertrædelse. Over en uge af e-mails, der blev sendt en tirsdag aften, grillede jeg ham over, hvem der måske stod bag det lækkende, hvad der var så galt med Spotifys svar, og hvad berørte brugere kan gøre for at beskytte sig selv.

Lækagens anatomi

Da Ashley Madison-debaklen sprang ud som en overmoden cantaloupe, Ashley Madison Læk ikke nogen stor deal? Tænk igen Ashley Madison lækker ikke nogen big deal? Tænk igen Diskret online datingside Ashley Madison (primært målrettet mod snyder ægtefæller) er blevet hacket. Dette er dog et langt mere alvorligt emne, end der er beskrevet i pressen, med betydelige konsekvenser for brugernes sikkerhed. , det afslørede milde hemmelige hemmeligheder på det mørke web. Datadumpen, der blev målt i gigabyte, listede alt fra biografiske oplysninger fra stedets registranter til endda deres niche-seksuelle præferencer. Hvordan sammenlignes Spotify-lækagen?

“For så vidt angår hvor meget data der er lækket, er der kun nævnt, at et uspecificeret 'hundreder' af konti er blevet kompromitteret. Kontooplysninger som betalingsoplysninger og kreditkortoplysninger var ikke inkluderet i lækagen, men e-mails, brugernavne, adgangskoder, kontotype og yderligere kontooplysninger var.” - Kevin Shahbazi

Der er stadig ingen oplysninger om, hvem der stod bag angrebet, selvom det blev offentliggjort af en bruger ved navn 'Drakia12'på Pastebin. Kevin er åben for muligheden for, at selve dumpingen muligvis ikke er så ny, og i stedet kom fra konti, der allerede var lækket på Dark Web Journey Into The Hidden Web: A Guide For New Researchers Journey into The Hidden Web: A Guide For nye forskere Denne vejledning tager dig med på en tur gennem de mange niveauer på det dybe web: databaser og information tilgængelig i akademiske tidsskrifter. Endelig ankommer vi Tor's porte. , og er nu i en bredere cirkulation. Logins til Spotify og andre streamingwebsteder som Netflix er tilgængelige at købe på de skumlere dele af Internettet, og ifølge en McAfee Labs-rapport cirkuleres disse logins kontinuerligt af cyberkriminelle, når de først er blevet kompromitteret”.

Kevin antydede også, at a “råstyrke” angreb kan være bag lækagen, siger, “En anden mulig kilde [til lækagen] er et program, der bruges til at 'kamme' gennem adgangskoder, eller blot forsøge flere forskellige kodeordkombinationer, indtil det finder den rigtige”.

Dette synes usandsynligt, da de fleste tjenester nu begrænser mængden af ​​mislykkede loginforsøg, som en bruger kan gøre. Det er dog ikke umuligt. I 2009 blev Twitter-konti for Rick Sanchez, Bill O'Reilly og Britney Spears kompromitteret af hackere, og stødende beskeder blev sendt.

Dette angreb var kun muligt, fordi Twitter på det tidspunkt ikke begrænsede loginforsøg, og en administrator havde et svagt ordbogskodeord ( “lykke”).

Jeg ville vide, hvordan denne lækage sammenlignet med andre højprofilerede lækager, såsom Ashley Madison, PlayStation Network og Mate1 lækager. Kevin sagde, at i modsætning til andre andre bemærkelsesværdige lækager, er Spotify ikke det “eje” det. De tager ikke ansvar. Det tilføjede han heller ikke “at være proaktiv til at beskytte deres kunders information”. Shahbazi bekymrer sig også for, at lækagen kan være overturen af ​​noget meget større.

“Ved at offentliggøre en lille stikprøve af data påståede hackere måske simpelthen ønsket at sætte Spotify i en defensiv position. Så efter et kort stykke tid, efter at de har malket kontoen, vil de sandsynligvis offentliggøre resten af ​​datadumpen. Hvis det er deres mål, er der mere forlegenhed, og ledere kan ende med at miste deres positioner hos Spotify.” - Kevin Shahbazi

Hvorfor Spotify?

Det mest forundrende med Spotify-hacket er måske, at det er et så usandsynligt mål. For en cyber-kriminel er lokkemålet med en kompromitteret PayPal- eller online-bankkonto Online Banking Safe? For det meste, men her er 5 risici, du skal vide om, er online banksikkerhed sikkert? For det meste, men her er 5 risici, du skal vide om, at der er meget at lide ved netbank. Det er praktisk, kan forenkle dit liv, du kan endda få bedre besparelser. Men er onlinebank så sikker og sikker, som det burde være? er ubestridelig. Men Spotify er ikke en finansiel institution. Det er et musikwebsted. Jeg spurgte Kevin, hvorfor en hacker måske kunne målrette det.

“Værdien ved at angribe Spotify eller andre lignende tjenester varierer fra hacker til hacker. I dette tilfælde synes gennemsigtighed at være det mest sandsynlige motiv bag den nylige lækage, for at vise offentligheden, at deres oplysninger ikke nødvendigvis er sikre med platformen, og i sidste ende forårsager forlegenhed for brandet.” - Kevin Shahbazi

Mange mennesker vælger at linke deres Facebook-konti med Spotify. Dette forenkler login og tilføjer også en social dimension til tjenesten. Brugere kan dele deres yndlingsspor med deres venner og få anbefalinger.

Kan dette føre til yderligere smerter for de berørte brugere? Potentielt sagde Kevin. Især hvis brugeren bruger et duplikatadgangskode.

“Duplicerede adgangskoder (eller genbrug af en enkelt adgangskode på tværs af forskellige tjenester) kan være et potentielt problem. Da enhver nu kan få adgang til hundredvis af Spotify-login, giver dette dem nøglen til andre konti og tjenester, der bruger det lækkede kodeord).” - Kevin Shahbazi

Spotifys svar

I betragtning af Spotifys høje profil var det uundgåeligt, at virksomheden i sidste ende skulle opleve en slags sikkerhedsproblem. Men i dette tilfælde har det været overraskende nonchalant omkring alt.

“Mens de [i fortiden] har været proaktive med at nulstille brugeradgangskoder til konti, der ser ud til at være hacket, og har sagt, at de ofte scanner websteder som Pastebin for Spotify-legitimationsoplysninger, har de ikke gjort det med det seneste påståede hack, på trods af hundreder af Spotify-legitimationsoplysninger, der vises online.” - Kevin Shahbazi

Berørte kunder har været nødt til aktivt at nå ud til Spotify for at genvinde adgang til deres konti. Ifølge posteringer på Twitter og forskellige artikler i teknologipressen har dette ikke været en let opgave. Desværre er dette ikke en isoleret begivenhed for Spotify.

“Spotify har benægtet eksistensen af ​​lignende påståede hacks, der angiveligt fandt sted i november 2015 og igen i sidste uge i februar. I alt modsætter Spotifys offentlige erklæringer deres kunders oplevelser.” - Kevin Shahbazi

Kevin er ikke sikker på, hvorfor Spotify har været så voldsomt uigennemsigtig om eksistensen (eller på anden måde) af et hack, eller om det var offer for brugerfejl. Det bekymrer han sig dog “deres mangel på gennemsigtighed skader kun deres brand, omdømme og mest af alt deres kunder”.

Hvad kan berørte brugere gøre?

Bogstaveligt talt er hundredvis af brugere blevet påvirket af lækagen. Der er en meget reel mulighed for, at flere konti er kompromitteret, men bare ikke er lækket endnu. Jeg spurgte Kevin, hvilke foranstaltninger Spotify-brugere skulle tage for at beskytte sig selv.

“Uanset om det er hacket eller ej, skal alle Spotify-brugere være opmærksomme på deres konti. For dem, hvis oplysninger er kompromitteret, skal de øjeblikkeligt ændre deres loginoplysninger for alle konti, der har brugt den samme adgangskode, samt overvåge eventuelle økonomiske konti, der kan være knyttet til Spotify. De skal også kontakte Spotify for at give dem besked om problemet med deres konto samt for at nulstille det.” - Kevin Shahbazi

Kevin tilføjede, at de, der var heldige nok til ikke at blive inkluderet i datadumpen, også skulle tage forholdsregler. Han anbefaler, at alle brugere nulstiller deres adgangskoder, og på alle enheder, hvor Spotify er installeret, brugerne logger sig ud og derefter logger ind igen. Han understregede også farerne ved at stole på duplikate adgangskoder.

“Dette er endnu et tilfælde, hvor dublerede adgangskoder vender tilbage for at skade dem, der leder efter let adgang til flere konti. Selvom det bare kan virke som om Spotifys loginoplysninger blev hacket og alle andre konti er sikre, hvis en duplikatadgangskode blev brugt, kunne den bruges til at logge ind på andre konti ved hjælp af disse oplysninger og skabe en dominoeffekt.” - Kevin Shahbazi

Forebyggelse er bedre end kur

Det er umuligt for forbrugere at forhindre, at deres data lækkes af en tjeneste, de bruger, da de ikke er i deres hænder. Tjenesten skal have god sikkerhedspraksis og god adgangskodehygiejne. Men hvad kan forbrugere gøre for at begrænse deres eksponering for fremtidige lækager? Kevin understregede på ny, at brugerne skulle undgå duplikatadgangskoder og om muligt bruge tofaktorautentisering.

“En anden måde, som læserne kan sikre, at deres adgangskodesikkerhed er stærk, er ved at bruge tofaktorautentisering (2FA) Hvad er tofaktorautentisering, og hvorfor du skal bruge det, hvad er tofaktorautentisering, og hvorfor du skal bruge det tofaktor godkendelse (2FA) er en sikkerhedsmetode, der kræver to forskellige måder at bevise din identitet på. Det bruges ofte i hverdagen. For eksempel kræver betaling med et kreditkort ikke kun kortet,…, hvor brugerne ud over en adgangskode er forpligtet til at give et andet stykke information, som et fingeraftryk, pinkode eller sikkerhedsspørgsmål, som kun de ville være i stand til at give.” - Kevin Shahbazi

Ikke overraskende anbefaler Kevin brugen af ​​en adgangskodemanager for at gemme komplekse adgangskoder sikkert. Han sagde “en password manager Hvordan adgangskodeadministratorer opbevarer dine adgangskoder sikkert Hvordan passwordadministratorer holder dine adgangskoder sikre adgangskoder, der er svære at knække, er også svært at huske. Vil du være sikker? Du har brug for en adgangskodemanager. Her er, hvordan de fungerer, og hvordan de holder dig i sikkerhed. er en enkel måde at forhindre hackere i at ødelægge dit liv. Disse krypterer adgangskoder i et sikkert 'hvælv', som brugeren kan få adgang til via en hovedadgangskode.” Han tilføjede, at disse gør det lettere at bruge sikre, komplekse adgangskoder.

“Der er mange gratis, pålidelige adgangskodeadministratorer. Sørg for, at du bruger en velrenommeret. Mange af dem gør mere end blot at gemme din adgangskode, så kig efter dem, der bruger “indsprøjtning” at indsætte adgangskoder i de rigtige felter i stedet for blot at kopiere og indsætte fra udklipsholderen. Dette hjælper dig med at undgå at blive angrebet via keyloggers.” - Kevin Shahbazi

Afslutter

Kevin er måske med rette forstyrret af det milde svar fra Spotify på hundreder af deres brugerkonti, der sprøjtes på Pastebin. Hvorvidt denne lækage er en engangs, eller om det er tegn på noget større, der kommer frem, er endnu ikke set.

Vi forsøgte at komme i kontakt med Spotify for at kommentere denne historie, men kunne ikke gøre det. Hvis vi hører tilbage fra virksomheden, opdaterer vi denne artikel med dens svar.

Billedkreditter: Vdovichenko Denis / Shutterstock.com




Endnu ingen kommentarer

Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.