Annonse

De siste Spotify-lekkasje er kanskje den rareste ennå. Hundrevis av kontoer er sprutet på Pastebin. Du har allerede fått tilgang til disse kontoene, og mange har fått endret e-postmeldinger. Men ikke bare vet vi ikke hvem som står bak lekkasjen, Spotify er overbevist om at den ikke har blitt hacket. Så hva er egentlig fortsette?

For å finne ut av det, arrangerte jeg en prat med Kevin Shahbazi, sikkerhetsekspert og administrerende direktør i passordhåndteringsfirmaet LogMeOnce. Kevin har bygget seg et navn i sikkerhetsbransjen. Han har lansert flere forskjellige infosec-selskaper, hvorav et - Trust Digital, som spesialiserer seg på smarttelefonsikkerhet på bedriftsnivå - var kjøpt opp av McAfee i 2010.

Kevins ekspertise på sikkerhetsområdet er ubestridelig, og jeg ønsket å finne ut hva han gjorde med dette siste datainnbruddet. Over en mengde e-postmeldinger som ble sendt en tirsdag kveld, grillet jeg ham på hvem som kan være bak det lekker, hva som var så galt med Spotifys svar, og hva berørte brukere kan gjøre for å beskytte seg.

instagram viewer

Lekkasjens anatomi

Når Ashley Madison brister dukket som en overmoden cantaloupe Ashley Madison Leak No Big Deal? Tenk igjenDiskret online datingside Ashley Madison (hovedsakelig rettet mot å lure ektefeller) er blitt hacket. Dette er imidlertid en langt mer alvorlig sak enn det som er blitt fremstilt i pressen, med betydelige konsekvenser for brukernes sikkerhet. Les mer , den eksponerte milde hemmelige hemmeligheter på Dark web. Datadumpen, som ble målt i gigabyte, listet alt fra den biografiske informasjonen til nettstedets registranter, til og med deres seksuelle preferanser. Hvordan sammenligner Spotify-lekkasjen?

"Så langt som hvor mye data som er lekket, har det bare vært nevnt at et uspesifisert 'hundrevis av kontoer er blitt kompromittert. Kontoinformasjon som betalingsinformasjon og kredittkortinformasjon var ikke inkludert i lekkasjen, men e-postmeldinger, brukernavn, passord, kontotype og ytterligere kontodetaljer var. ” - Kevin Shahbazi

Det er fremdeles ingen informasjon om hvem som sto bak angrepet, selv om det ble publisert av en bruker med navnet "Drakia12‘På Pastebin. Kevin er åpen for muligheten for at dumpen i seg selv kanskje ikke var så ny, og i stedet kom fra kontoer som allerede var lekket på the Dark Web Reise til det skjulte nettet: En guide for nye forskereDenne håndboken tar deg med på en tur gjennom de mange nivåene på det dype nettet: databaser og informasjon tilgjengelig i akademiske tidsskrifter. Endelig kommer vi til portene til Tor. Les mer , og går nå inn i et bredere opplag. Pålogginger for Spotify og andre strømningssider som Netflix er tilgjengelige å kjøpe på de mørkere delene av Internett, og i henhold til en McAfee Labs-rapport, disse påloggingene distribueres kontinuerlig av cyberkriminelle når de først er blitt kompromittert.

Kevin antydet også at et "brute force" -angrep kan være bak lekkasjen, og sa: "En annen mulig kilde [til lekkasjen] er en programmet som brukes til å 'kamme' gjennom passord, eller bare prøve flere forskjellige passordkombinasjoner til det finner riktig en".

Dette virker lite sannsynlig, siden de fleste tjenester nå begrenser mengden mislykkede påloggingsforsøk en bruker kan gjøre. Det er imidlertid ikke umulig. I 2009 ble Twitter-kontoene til Rick Sanchez, Bill O’Reilly og Britney Spears ble kompromittert av hackere, og krenkende meldinger ble lagt ut.

sancheztwitter

Dette angrepet var bare mulig fordi Twitter den gangen ikke begrenset påloggingsforsøk, og en administrator hadde et svakt ordbokpassord (det var "lykke").

Jeg ville vite hvordan denne lekkasjen sammenlignet med andre høyprofilerte lekkasjer, som Ashley Madison, PlayStation Network og Mate1. Kevin sa at i motsetning til andre bemerkelsesverdige lekkasjer, “Spotify” ikke Spotify. De tar ikke ansvar. Han la heller ikke til "å være proaktive for å beskytte kundens informasjon". Shahbazi bekymrer seg også for at lekkasjen kan være overturen av noe mye større.

"Ved å publisere et lite utvalg av data påståtte hackere, kunne det ganske enkelt ha ønsket å sette Spotify i en defensiv posisjon. Etter en kort stund, etter at de har melket kontoen, vil de sannsynligvis publisere resten av datadumpen. Hvis det er deres mål, er det mer flauhet å komme, og ledere kan ende med å miste stillingene hos Spotify. ” - Kevin Shahbazi

Hvorfor Spotify?

Det som kanskje er mest forundrende med Spotify-hacket, er at det er et så usannsynlig mål. For en cyber-kriminell, lokke av en kompromittert PayPal eller nettbankkonto Er nettbanksikker? Stort sett, men her er 5 risikoer du bør vite omDet er mye å like med nettbank. Det er praktisk, kan forenkle livet ditt, du kan til og med få bedre sparepriser. Men er nettbank så trygt og sikkert som det burde være? Les mer er ubestridelig. Men Spotify er ikke en finansinstitusjon. Det er et musikknettsted. Jeg spurte Kevin hvorfor en hacker kan målrette det.

Verdien av å angripe Spotify, eller andre lignende tjenester, varierer fra hacker til hacker. I dette tilfellet ser åpenhet ut til å være det mest sannsynlige motivet bak den nylige lekkasjen, for å vise publikum at deres informasjon er ikke nødvendigvis sikker med plattformen, og til slutt forårsaker det flau merke for merkevaren. " - Kevin Shahbazi

Mange velger å koble Facebook-kontoene sine til Spotify. Dette forenkler pålogging, og tilfører også en sosial dimensjon til tjenesten. Brukere kan dele favorittlåtene sine med vennene sine, og få anbefalinger.

Profil

Kan dette føre til ytterligere smerter for berørte brukere? Potensielt, sa Kevin. Spesielt hvis brukeren bruker et duplisert passord.

“Dupliserte passord (eller gjenbruk av et enkelt passord på tvers av forskjellige tjenester) kan være et potensielt problem. Siden alle nå kan få tilgang til hundrevis av Spotify-pålogginger, gir dette dem nøkkelen til andre kontoer og tjenester som bruker det lekkede passordet. " - Kevin Shahbazi

Spotifys svar

Med tanke på Spotifys høye profil var det uunngåelig at selskapet etter hvert skulle oppleve en slags sikkerhetsproblem. Men i dette tilfellet har det vært overraskende nonchalant om alt.

Mens de [tidligere] har vært proaktive med å tilbakestille brukerpassord for kontoer som ser ut til å være hacket, og har sagt at de ofte skanner nettsteder som Pastebin for Spotify-legitimasjon, de har ikke gjort det med det siste påståtte hacket, til tross for hundrevis av Spotify-legitimasjon som vises på nettet. " - Kevin Shahbazi

Berørte kunder har måttet aktivt nå ut til Spotify for å gjenvinne tilgang til kontoene sine. I følge innlegg på Twitter, og forskjellige artikler i teknologipressen, har dette ikke vært en lett oppgave. Dessverre er dette ikke en isolert hendelse for Spotify.

“Spotify har benektet eksistensen av påståtte hacks som angivelig fant sted i november 2015 og igjen det siste februar. Totalt sett motsier Spotifys offentlige uttalelser opplevelsen til kundene sine. " - Kevin Shahbazi

Kevin er ikke sikker på hvorfor Spotify har vært så heftig ugjennomsiktig om eksistensen (eller på annen måte) av et hack, eller om det var offer for brukerfeil. Imidlertid bekymrer han seg for at "deres mangel på åpenhet bare skader merkevaren, omdømmet og mest av alt kundene deres".

Hva kan berørte brukere gjøre?

Bokstavelig talt har hundrevis av brukere blitt påvirket av lekkasjen. Det er en veldig reell mulighet for at flere kontoer har blitt kompromittert, men bare ikke har blitt lekket ennå. Jeg spurte Kevin hvilke tiltak Spotify-brukere bør ta for å beskytte seg.

"Uansett om det er hacket eller ikke, bør alle Spotify-brukere være klar over kontoene sine. For de som har blitt kompromittert med informasjonen, bør de umiddelbart endre påloggingsinformasjonen for eventuelle kontoer som brukte det samme passordet, samt overvåke eventuelle økonomiske kontoer som kan være knyttet til Spotify. De må også kontakte Spotify for å gi dem beskjed om problemet med kontoen sin, samt for å tilbakestille det. " - Kevin Shahbazi

LeakedAccounts

Kevin la til at de som var heldige nok til ikke å bli inkludert i datadumpen, også burde ta forholdsregler. Han anbefaler at alle brukere tilbakestiller passordene sine, og på alle enheter der Spotify er installert, logger brukerne seg og deretter logger seg på nytt. Han understreket også farene ved å stole på dupliserte passord.

Dette er enda et tilfelle der dupliserte passord kommer tilbake for å skade dem som leter etter enkel tilgang til flere kontoer. Selv om det kan virke som om Spotifys påloggingsinformasjon ble hacket og alle andre kontoer er trygge, hvis et duplikat passord var brukt, kan den brukes til å logge inn på andre kontoer ved å bruke den informasjonen og skape en dominoeffekt. " - Kevin Shahbazi

Forebygging er bedre enn kur

Det er umulig for forbrukere å forhindre at dataene deres blir lekket av en tjeneste de bruker, siden de ikke er i deres hender. Tjenesten må ha god sikkerhetspraksis og god passordhygiene. Men hva kan forbrukere gjøre for å begrense eksponeringen for fremtidige lekkasjer? Kevin understreket på nytt at brukere bør unngå dupliserte passord, og der det er mulig bruke tofaktorautentisering.

"En annen måte lesere kan sikre passordssikkerheten på er sterk, er å bruke tofaktorautentisering (2FA) Hva er tofaktorautentisering, og hvorfor du bør bruke denTo-faktor autentisering (2FA) er en sikkerhetsmetode som krever to forskjellige måter å bevise identiteten din på. Det brukes ofte i hverdagen. For eksempel å betale med kredittkort krever ikke bare kortet, ... Les mer , der brukerne i tillegg til et passord, må oppgi en annen informasjon, som et fingeravtrykk, PIN-kode eller sikkerhetsspørsmål, som bare de ville være i stand til å gi. ” - Kevin Shahbazi

Overraskende anbefaler Kevin bruk av en passordbehandling for å lagre komplekse passord på en sikker måte. Han sa "en passordbehandling Hvordan passordledere holder passordene dine tryggePassord som er vanskelig å sprekke er også vanskelig å huske. Vil du være trygg? Du trenger en passordbehandling. Slik fungerer de og hvordan de holder deg trygg. Les mer er en enkel måte å forhindre hackere i å ødelegge livet ditt. Disse krypterer passordene i et sikkert ‘hvelv’, som brukeren kan få tilgang til via ett hovedpassord. » Han la til at disse gjør det lettere å bruke sikre, komplekse passord.

“Det er mange gratis, pålitelige passordbehandlere. Forsikre deg om at du bruker en pålitelig. Mange av dem gjør mer enn bare å lagre passordet ditt, så se etter de som bruker “injeksjon” for å sette inn passord i de riktige feltene, i stedet for bare å kopiere og lime inn fra utklippstavlen. Dette hjelper deg å unngå å bli angrepet via keyloggers. " - Kevin Shahbazi

Pakk inn

Kevin er kanskje med rette forstyrret av den milde responsen fra Spotify til at hundrevis av brukerkontoer deres blir sprayet på Pastebin. Om det er en engangslekkasje eller om det er et tegn på at noe større skal komme, gjenstår å se.

Vi prøvde å komme i kontakt med Spotify for å kommentere denne historien, men klarte ikke å gjøre det. Hvis vi hører tilbake fra selskapet, oppdaterer vi denne artikkelen med svaret.

Bildetillegg: Vdovichenko Denis / Shutterstock.com

Matthew Hughes er programvareutvikler og skribent fra Liverpool, England. Han blir sjelden funnet uten en kopp sterk svart kaffe i hånden og elsker absolutt Macbook Pro og kameraet hans. Du kan lese bloggen hans på http://www.matthewhughes.co.uk og følg ham på twitter på @matthewhughes.