Hirdetés

Az legújabb Spotify szivárgás talán még a legfurcsább. Több száz számla robbant fel a Pastebin-en. Ezekhez a fiókokhoz már hozzáfértek, és sokuknak megváltozott az e-mail címe. De nem csak azt, hogy nem tudjuk, ki mögött van a szivárgás, A Spotify rendkívüli, ezért még nem csapkodtak be. Szóval, mi van igazán folyik?

Ennek megismerése érdekében csevegést rendeztem Kevin Shahbazi-val, a biztonsági szakértővel és a jelszókezelő cég vezérigazgatójával LogMeOnce. Kevin nevet épített magának a biztonsági iparban. Több különböző infosec-céget indított, ezek közül az egyik - a Trust Digital, amely vállalati szintű okostelefon-biztonságra szakosodott - amelyet a McAfee vásárolt 2010-ben.

Kevin biztonsági ismerete nem vitathatatlan, és meg akartam tudni, hogy mit tett ebből a legfrissebb adat megsértésből. Egy kedd este elküldött e-mailek miatt azt kérdeztem, hogy ki lehet a szivárgás mögött, mi volt a Spotify válaszával, és mit tehetnek a felhasználók a saját védelmük érdekében.

A szivárgás anatómiája

instagram viewer

Amikor az Ashley Madison összeomlik felbukkant, mint egy érett sárgadinnye Ashley Madison nem szivárog? Gondolj újraA diszkrét online társkereső webhelyet Ashley Madison-t (elsősorban a csaló házastársakra irányítva) feltörték. Ez azonban sokkal komolyabb kérdés, mint amit a sajtóban bemutattak, és jelentős kihatással van a felhasználói biztonságra. Olvass tovább , millióinak rendkívüli titkait fedte fel a Sötét webre. A gigabájtban mért adatmentés mindent felsorolt, a weboldal regisztrálóinak életrajzi információitól egészen a szexuális preferenciáikig. Hogyan hasonlít a Spotify szivárgás?

„Ami a szivárogtatott adatok mennyiségét illeti, csak annyit említettem, hogy egy meghatározatlan„ több száz ”számla veszélybe került. A szivárgás nem tartalmazta a számlainformációkat, például a fizetési adatokat és a hitelkártya-információkat, de az e-mailek, a felhasználónevek, a jelszavak, a fiók típusa és a további fiókadatok voltak. ” - Kevin Shahbazi

Még mindig nincs információ arról, hogy ki állt a támadás mögött, bár ezt egy felhasználó közzétette „Drakia12'Pastebin-en. Kevin nyitott annak a lehetőségnek, hogy maga a dump esetleg nem olyan új, és ehelyett olyan számlákból származott, amelyeket már kiszivárogtattak a a sötét web Utazás a rejtett webbe: Útmutató az új kutatók számáraEz a kézikönyv a mélyháló sokféle szintjén jár el: az adatbázisok és az akadémiai folyóiratokban rendelkezésre álló információk áttekintése. Végül megérkezünk a Tor kapujához. Olvass tovább , és most szélesebb körben lépnek forgalomba. A Spotify bejelentkezési adatai és más olyan streaming webhelyek, mint például a Netflix, megvásárolhatók az Internet legkönnyebb részein, és a egy McAfee Labs jelentés, ezeket a bejelentkezéseket a kiberbűnözők folyamatosan keringik, miután veszélybe kerültek ”.

Kevin arra is utalt, hogy a szivárgás mögött egy „brute force” támadás lehet, mondván: „A szivárgás másik lehetséges forrása egy a jelszavak átfésülésére használt program, vagy csak több különböző jelszó kombinációt próbál meg, amíg nem találja a helyest egy".

Ez valószínűtlennek tűnik, mivel a legtöbb szolgáltatás most korlátozza a felhasználó által végrehajtott sikertelen bejelentkezési kísérletek összegét. Ez azonban nem lehetetlen. 2009-ben Rick Sanchez, Bill O’Reilly és Britney Spears Twitter-fiókjai veszélyeztették a hackerek, és sértő üzeneteket tettek közzé.

sancheztwitter

Ez a támadás csak azért volt lehetséges, mert akkoriban a Twitter nem korlátozta a bejelentkezési kísérleteket, és az egyik rendszergazda gyenge szótárjelszóval rendelkezik (ez volt "boldogság").

Szerettem volna tudni, hogy ez a szivárgás összehasonlítható-e más magas szintű szivárgásokkal, például az Ashley Madison, a PlayStation Network és a Mate1 szivárgásokkal. Kevin azt mondta, hogy a többi jelentős szivárgással ellentétben a Spotify nem „birtokolja” azt. Nem vállalnak felelősséget. Hozzátette: "Proaktív módon védik ügyfeleik adatait". Shahbazi attól is aggódik, hogy a szivárgás valami sokkal nagyobb nyitása lehet.

„Az adatok egy kis mintájának közzétételével az állítólagos hackerek egyszerűen akartak a Spotify-t védekező pozícióba helyezni. Ezután rövid idő múlva, miután kimerítették a fiókot, valószínűleg közzéteszik a többi adatátvételt. Ha ez a célja, akkor még több kínos lesz, és a vezetők végül elveszíthetik pozíciójukat a Spotify-n. " - Kevin Shahbazi

Miért Spotify?

Talán ami a leginkább rejtélyes a Spotify hack számára, az az, hogy ez egy ilyen valószínűtlen célpont. A számítógépes bűnöző számára a veszélyeztetett PayPal vagy online bankszámla Biztonságos az internetes banki szolgáltatások? Leginkább, de itt van 5 olyan kockázat, amelyekről tudnia kellNagyon tetszik az online banki szolgáltatások. Kényelmes, leegyszerűsíti az életed, még jobb megtakarítási arányokat is elérhet. De vajon az internetes banki szolgáltatás olyan biztonságos-e, mint amilyennek lennie kellene? Olvass tovább tagadhatatlan. A Spotify azonban nem pénzügyi intézmény. Ez egy zenei webhely. Megkérdeztem Kevin-től, hogy miért támadhat egy hackert?

„A Spotify vagy más hasonló szolgáltatások támadásának értéke hackertől függően változik. Ebben az esetben az átláthatóság tűnik a legutóbbi szivárgás legvalószínűbb motívumának, amely megmutatja a nyilvánosság számára, hogy az az információ nem feltétlenül biztonságos a platformon, és végül zavarokat okoz a márka számára. ” - Kevin Shahbazi

Sok ember úgy dönt, hogy összekapcsolja Facebook-fiókját a Spotify-lal. Ez leegyszerűsíti a bejelentkezést, és hozzáad egy szociális dimenziót a szolgáltatáshoz. A felhasználók megoszthatják kedvenc zeneszámaikat barátaival és ajánlásokat kaphatnak.

Profil

Ez további fájdalmat eredményezhet az érintett felhasználók számára? Lehetséges - mondta Kevin. Különösen akkor, ha a felhasználó duplikált jelszót használ.

„A duplikált jelszavak (vagy egyetlen jelszó újrafelhasználása a különböző szolgáltatások között) potenciális problémát jelenthetnek. Mivel bárki most már több száz Spotify bejelentkezést elérhet, ez megadja nekik a kulcsot minden más fiókhoz és szolgáltatáshoz, amelyek kiszivárogtatott jelszót használnak. ” - Kevin Shahbazi

A Spotify válasza

Figyelembe véve a Spotify magas profilját, elkerülhetetlen volt, hogy a társaság végül valamilyen biztonsági problémát tapasztaljon. De ebben az esetben meglepően vonzó volt mindenről.

„Míg [a múltban] proaktív módon visszaállították a feltörtnek tűnő fiókok felhasználói jelszavait, és azt mondták, hogy gyakran oldalakat szkennelnek, mint például Beillesztve a Spotify hitelesítő adatait, a legutóbbi állítólagos csapkodással még nem tették meg, annak ellenére, hogy a Spotify hitelesítő adatai százan jelennek meg az interneten. ” - Kevin Shahbazi

Az érintett ügyfeleknek aktívan ki kellett lépniük a Spotify-hoz, hogy visszanyerjék számláikat. A Twitter-be tett bejegyzés és a technológiai sajtó különféle cikkei szerint ez nem volt könnyű feladat. Sajnos ez a Spotify számára nem külön esemény.

„A Spotify tagadta a hasonló állítólagos csapkodások létezését, amelyek állítólag 2015 novemberében és újra megtörténtek ez a múlt február. Összességében a Spotify nyilvános nyilatkozata ellentmond az ügyfeleik tapasztalatainak. ” - Kevin Shahbazi

Kevin nem biztos abban, miért akarja a Spotify annyira hevesen átláthatatlanul egy hack létezését (vagy más módon), vagy hogy felhasználói hiba áldozata lett-e. Mindazonáltal attól tart, hogy "átláthatóságuk hiánya csak a márkájukra, hírnevükre és mindenekelőtt az ügyfelekre nézve sérti".

Mit tehetnek az érintett felhasználók?

A szivárgás szó szerint több száz felhasználót érintette. Nagyon valószínű, hogy több fiókot veszélyeztettek, de még nem szivárogtak be. Megkérdeztem Kevin-től, hogy milyen intézkedéseket kell tennie a Spotify felhasználóknak, hogy megvédjék magukat.

„Függetlenül attól, hogy feltörték-e vagy sem, az összes Spotify-felhasználónak tisztában kell lennie a fiókjával. Azok számára, akiknek adatai sérültek, azonnal változtassák meg bejelentkezési adataikat fiókok, amelyek ugyanazt a jelszót használták, valamint figyelemmel kísérik a kapcsolódó pénzügyi számlákat Spotify. Fel kell lépniük a Spotifivel, hogy tudatják velük a problémát a fiókkal, és visszaállítsák. - Kevin Shahbazi

LeakedAccounts

Kevin hozzátette, hogy azoknak is, akiknek szerencséje van arra, hogy nem kerültek be az adatmentőbe, szintén óvintézkedéseket kell tenniük. Azt javasolja, hogy minden felhasználó állítsa vissza jelszavát, és minden eszközön, amelyre a Spotify telepítve van, jelentkezzen ki, majd jelentkezzen be újra. Hangsúlyozta az ismétlődő jelszavakra való hivatkozás veszélyeit.

„Ez egy újabb eset, amikor a duplikált jelszavak visszatérnek, hogy ártalmasak legyenek azok számára, akik megkönnyítik a több fiókhoz való hozzáférést. Bár úgy tűnhet, hogy a Spotify bejelentkezési adatait feltörték, és az összes többi fiók biztonságban van, ha egy másodlagos jelszó volt felhasználva felhasználható arra, hogy sikeresen bejelentkezzen más fiókokba, felhasználva ezt az információt, és így dominóhatást hozzon létre. ” - Kevin Shahbazi

A megelőzés jobb, mint a gyógyítás

A fogyasztók számára lehetetlen megakadályozni, hogy adataikat kiszolgáltassák egy általuk használt szolgáltatás, mivel az nem a kezükben van. A szolgáltatásnak jó biztonsági gyakorlatokkal és jó jelszó-higiéniával kell rendelkeznie. De mit tehetnek a fogyasztók a jövőbeni szivárgásnak való kitettség korlátozása érdekében? Kevin ismételten hangsúlyozta, hogy a felhasználóknak kerülniük kell a duplikált jelszavakat, és ahol lehetséges, kéttényezős hitelesítést kell használniuk.

„Egy másik módszer, amellyel az olvasók biztosíthatják a jelszó biztonságát, az a kihasználás kéttényezős hitelesítés (2FA) Mi a kétfaktoros hitelesítés, és miért kell ezt használni?Két tényezős hitelesítés (2FA) egy olyan biztonsági módszer, amely kétféleképpen megköveteli az identitás igazolását. Általában a mindennapi életben használják. Például hitelkártyával történő fizetés nemcsak a kártyát, hanem a ... Olvass tovább , ahol a jelszó mellett a felhasználóknak további információkat kell megadniuk, például ujjlenyomat, PIN-kód vagy biztonsági kérdés, amelyet csak ők tudnak biztosítani. ” - Kevin Shahbazi

Nem meglepő, hogy Kevin jelszókezelő használatát javasolja a komplex jelszavak biztonságos tárolása érdekében. Ő mondta "egy jelszókezelő Hogyan védik a jelszókezelők a jelszavaikat?A nehezen feltörhető jelszavak szintén nehéz megjegyezni. Biztonságban akar lenni? Szüksége van egy jelszókezelőre. Íme, hogyan működnek, és hogyan tartanak biztonságban. Olvass tovább egy egyszerű módja annak, hogy megakadályozzák, hogy a hackerek pusztítsanak az életedben. Ezek a titkosított jelszavak egy biztonságos „boltozatban” vannak, amelyhez a felhasználó egy fő jelszóval férhet hozzá. ” Hozzátette, hogy ezek megkönnyítik a biztonságos, összetett jelszavak használatát.

„Sok ingyenes, megbízható jelszókezelő létezik. Győződjön meg arról, hogy jó hírű embert használ. Sokan nem csupán a jelszavát tárolják, ezért keressen olyanokat, amelyek „befecskendezést” használnak a jelszavak helyes mezőbe történő beillesztésére, és nem a vágólapra másolás és beillesztés helyett. Ez segít elkerülni a keyloggerek általi támadást. ” - Kevin Shahbazi

Csomagolás fel

Kevinet talán helytelenül zavarja a Spotify enyhe válasza arra, hogy felhasználói fiókjaik százai Pastebinre permetezhetők. Látni kell még, hogy ez a szivárgás egyszeri vagy ha valami nagyobbra utal-e.

Megpróbáltuk felvenni a kapcsolatot a Spotify-val, hogy kommentáljuk ezt a történetet, de nem tudták megtenni. Ha visszajelzést kapunk a társaságtól, frissítjük ezt a cikket a válaszával.

Kép kreditek: Vdovichenko Denis / Shutterstock.com

Matthew Hughes szoftverfejlesztő és író, az angliai Liverpoolból. Ritkán talál egy csésze erős fekete kávé nélkül a kezében, és teljesen imádja a MacBook Pro-t és a kameráját. A blogját a következő címen olvashatja el: http://www.matthewhughes.co.uk és kövesse őt a Twitteren a @matthewhughes oldalán.