реклама

Най- последен теч на Spotify може би е най-странният досега. Стотици акаунти са пръснати на Пастебин. Тези акаунти вече са достъпни, като много от тях са променили имейлите си. Но не само не знаем кой стои зад теча, Spotify е непреклонен, че не е бил хакнат. И така, какво е наистина ли продължава?

За да разбера, уговорих чат с Кевин Шахбази, експерт по сигурността и изпълнителен директор на фирма за управление на пароли LogMeOnce. Кевин си е изградил име в индустрията за сигурност. Той стартира няколко различни инфосек компании, от които една - Trust Digital, която е специализирана в сигурността на смартфоните на корпоративно ниво. придобити от McAfee през 2010 г..

Експертизата на Кевин в областта на сигурността е неоспорима и исках да разбера какво направи той от това последно нарушение на данните. Над шум от имейли, изпратени във вторник вечерта, го изрисувах кой може да стои зад изтичането, какво е толкова лошо в отговора на Spotify и какво могат да направят засегнатите потребители, за да се защитят.

instagram viewer

Анатомията на теча

Когато дебюлира Ашли Мадисън изскочи като презряла канталупа Ашли Мадисън изтича без голяма сделка? Помисли отновоДискретен онлайн сайт за запознанства Ашли Мадисън (насочен предимно към измама на съпрузи) е бил хакнат. Това обаче е далеч по-сериозен въпрос, отколкото е представен в пресата, със значително отражение върху безопасността на потребителите. Прочетете още , разкриваше мрачните тайни на милиони в тъмната паяжина. Сметката за данни, измерена в гигабайтите, изброяваше всичко - от биографичната информация на регистрантите на сайта до дори техните сексуални предпочитания към нишата. Как се сравнява течът Spotify?

„Що се отнася до това колко данни са изтекли, само се спомена, че неопределени„ стотици “сметки са били компрометирани. Информацията за профила като данни за плащане и данни за кредитна карта не бяха включени в изтичането, но имейли, потребителски имена, пароли, тип на акаунта и допълнителни данни за профила бяха. “ - Кевин Shahbazi

Все още няма информация кой стои зад атаката, въпреки че тя е публикувана от потребител с името „Drakia12„На Пастебин. Кевин е отворен за възможността самото сметище да не е чак толкова ново и вместо това идва от акаунти, които вече са изтекли Тъмната мрежа Пътешествие в скритата мрежа: Ръководство за нови изследователиТова ръководство ще ви отведе на обиколка през многото нива на дълбоката мрежа: бази данни и информация, налична в академичните списания. Накрая ще стигнем до портите на Тор. Прочетете още , и сега навлизат в по-широко разпространение. Вход за Spotify и други стрийминг сайтове като Netflix са достъпни за закупуване в по-мрачните части на Интернет и според доклад на McAfee Labs, тези влизания непрекъснато се разпространяват от киберпрестъпници, след като са били компрометирани ”.

Кевин също намекна, че зад изтичането може да стои атака с "груба сила", казвайки: "Друг възможен източник [на изтичането] е програма, използвана за „комбиниране“ чрез пароли или просто опит за множество различни комбинации от пароли, докато не намери правилната един ".

Това изглежда малко вероятно, тъй като сега повечето услуги ограничават броя на неуспешните опити за влизане, които може да направи потребител. Това обаче не е невъзможно. През 2009 г. акаунти в Twitter на Рик Санчес, Бил О'Райли и Бритни Спиърс бяха компрометирани от хакерии бяха публикувани обидни съобщения.

sancheztwitter

Тази атака беше възможна само защото по това време Twitter не ограничаваше опитите за влизане и един администратор имаше слаба парола за речник (беше "Щастие").

Исках да знам как това изтичане в сравнение с други високопрофилни течове, като течовете на Ашли Мадисън, PlayStation Network и Mate1. Кевин каза, че за разлика от други забележителни течове, Spotify не го „притежава“. Те не поемат отговорност. Освен това, добави той, те „проявяват инициатива в защитата на информацията на своите клиенти“. Шахбази също се притеснява, че изтичането може да бъде увертюра на нещо много по-голямо.

„Публикувайки малка извадка от данни, предполагаеми хакери може би просто биха искали да поставят Spotify в отбранителна позиция. След малко, след като доеят сметката, вероятно ще публикуват останалата част от сметището. Ако това е тяхната цел, тогава предстои по-голямо смущение и ръководителите могат в крайна сметка да загубят позициите си в Spotify. " - Кевин Шахбази

Защо Spotify?

Може би това, което е най-озадачаващо за хакването Spotify, е, че той е толкова малко вероятна цел. За киберпрестъпник, примамването на компрометиран PayPal или онлайн банкова сметка Онлайн банкирането безопасно ли е? Най-вече, но ето 5 рискове, за които трябва да знаетеМного може да се хареса на онлайн банкирането. Удобно е, може да опрости живота ви, дори може да получите по-добри нива на спестявания. Но онлайн банкирането е толкова безопасно и сигурно, колкото трябва да бъде? Прочетете още е неоспоримо. Spotify обаче не е финансова институция. Това е музикален уебсайт. Попитах Кевин защо хакер може да го насочи.

„Стойността при нападение срещу Spotify или други подобни услуги варира от хакер до хакер. В този случай прозрачността изглежда е най-вероятният мотив зад скорошното изтичане, за да покаже на обществеността, че тяхната информацията не е непременно защитена с платформата и в крайна сметка причинява смущение на марката. " - Кевин Shahbazi

Много хора избират да свържат своите акаунти във Facebook с Spotify. Това опростява влизането и добавя социално измерение към услугата. Потребителите могат да споделят любимите си песни с приятелите си и да получават препоръки.

Профил

Може ли това да доведе до допълнителна болка за засегнатите потребители? Потенциално, каза Кевин. Особено, ако потребителят използва дублирана парола.

„Дублиращите се пароли (или повторната употреба на една парола в различни услуги) може да бъде потенциален проблем. Тъй като всеки вече има достъп до стотици влизания в Spotify, това им дава ключа към всички други акаунти и услуги, които използват изтеклата парола). “ - Кевин Шахбази

Отговор на Spotify

Предвид високия профил на Spotify, в крайна сметка беше неизбежно компанията да изпита някакъв проблем със сигурността. Но в случая беше изненадващо безхаберен за всичко.

„Докато [в миналото] те бяха активни при нулирането на потребителски пароли за акаунти, които изглежда са хакнати, и заявиха, че често сканират сайтове като Pastebin за идентификационните данни на Spotify, те не са направили това с най-скорошния предполагаем хак, въпреки стотиците идентификационни данни на Spotify, които се появяват онлайн. " - Кевин Shahbazi

Засегнатите клиенти трябваше активно да се свържат със Spotify, за да получат отново достъп до своите акаунти. Според публикации в Twitter и различни статии в технологичната преса това не е било лесна задача. За съжаление, това не е изолирано събитие за Spotify.

„Spotify отрече съществуването на подобни предполагаеми хакове, които се предполага, че са се случили през ноември 2015 г. и отново миналия февруари. Като цяло публичните изявления на Spotify противоречат на опита на техните клиенти. " - Кевин Шахбази

Кевин не е сигурен защо Spotify е толкова непрозрачен за съществуването (или по друг начин) на хак или дали е жертва на потребителска грешка. Той обаче се притеснява, че „липсата им на прозрачност само вреди на тяхната марка, репутация и най-вече на техните клиенти“.

Какво могат да направят засегнатите потребители?

Буквално стотици потребители са засегнати от теча. Има много реална възможност повече компромиси да са компрометирани, но просто още не са изтекли. Попитах Кевин какви мерки трябва да предприемат потребителите на Spotify, за да се защитят.

„Независимо дали са хакнали или не, всички потребители на Spotify трябва да знаят своите акаунти. За тези, чиято информация е била компрометирана, те трябва незабавно да променят данните си за вход за такива акаунти, които са използвали същата парола, както и да следят всички финансови сметки, които могат да бъдат свързани Spotify. Те трябва също да се свържат със Spotify, за да ги уведомят за проблема с акаунта си, както и да го нулират. “ - Кевин Шахбази

LeakedAccounts

Кевин добави, че онези, които са имали късмета да не бъдат включени в сметището за данни, също трябва да вземат предпазни мерки. Той препоръчва на всички потребители да нулират паролите си, а на всички устройства, където е инсталиран Spotify, потребителите да излязат и след това да влязат отново. Той също така подчерта опасностите да разчитате на дублиращи се пароли.

„Това е още един случай, при който дублиращите се пароли се връщат, за да навредят на тези, които търсят лесен достъп до множество акаунти. Въпреки че може просто да изглежда, че данните за вход на Spotify са били хакнати и всички други акаунти са безопасни, ако дублирана парола е използван, той може да бъде използван за успешно влизане в други акаунти, използващи тази информация, създавайки ефект на домино. " - Кевин Shahbazi

Превенцията е по-добра от лечението

Потребителите не могат да предотвратят изтичането на техните данни от услуга, която използват, тъй като това не е в техните ръце. Услугата трябва да има добри практики за сигурност и добра хигиена на паролата. Но какво могат да направят потребителите, за да ограничат излагането си на бъдещи течове? Кевин отново подчерта, че потребителите трябва да избягват дублиращите се пароли и, когато е възможно, да използват двуфакторна автентификация.

„Друг начин, по който читателите могат да гарантират, че сигурността на паролата им е силна, е чрез използване двуфакторна автентификация (2FA) Какво е двуфакторно удостоверяване и защо трябва да го използватеДвуфакторното удостоверяване (2FA) е метод за защита, който изисква два различни начина за доказване на вашата идентичност. Често се използва в ежедневието. Например плащането с кредитна карта изисква не само картата, ... Прочетете още , където в допълнение към паролата от потребителите се изисква да предоставят друга информация, например пръстов отпечатък, ПИН или въпрос за сигурност, който само те биха могли да предоставят. " - Кевин Shahbazi

Неучудващо е, че Кевин препоръчва използването на мениджър на пароли, за да съхранява сигурно сложни пароли. Той каза "мениджър на пароли Как мениджърите на пароли пазят вашите паролиПаролите, които е трудно да се счупят, също са трудни за запомняне. Искате да сте в безопасност? Имате нужда от мениджър на пароли. Ето как работят и как те пазят. Прочетете още е прост начин да предотвратите хакерите да навлязат на хаос в живота ви. Тези криптиращи пароли в защитен „трезор“, до който потребителят може да получи достъп чрез една главна парола. “ Той добави, че те улесняват използването на защитени, сложни пароли.

„Има много безплатни, надеждни мениджъри на пароли. Уверете се, че използвате уважаван. Много от тях правят повече от просто запаметяване на вашата парола, така че потърсете тези, които използват „инжектиране“, за да вмъкнат пароли в правилните полета, а не просто да копират и поставят от клипборда. Това ви помага да избегнете атака чрез keylogger. " - Кевин Шахбази

Обобщавайки

Кевин, може би правилно, е обезпокоен от лекия отговор на Spotify на стотици потребителски акаунти, които се пръскат на Pastebin. Дали това изтичане е еднократно или е показателно за нещо по-голямо, което предстои, предстои да видим.

Опитахме се да се свържем със Spotify за коментар по тази история, но не успяхме да го направим. Ако се чуем от компанията, ще актуализираме тази статия с нейния отговор.

Кредити за изображения: Вдовиченко Денис / Shutterstock.com

Матю Хюз е разработчик на софтуер и писател от Ливърпул, Англия. Рядко се среща без чаша силно черно кафе в ръка и абсолютно обожава своя Macbook Pro и камерата си. Можете да прочетете неговия блог на http://www.matthewhughes.co.uk и го последвайте в Туитър в @matthewhughes.