Reklame

Det seneste Spotify-lækage er måske den underligste endnu. Hundredvis af konti er sprøjtet på Pastebin. Der er allerede adgang til disse konti, hvor mange har ændret deres e-mails. Men ikke kun ved vi ikke, hvem der ligger bag lækagen, Spotify er fast, det er ikke blevet hacket. Så hvad er der? virkelig foregår?

For at finde ud af det, arrangerede jeg en chat med Kevin Shahbazi, sikkerhedsekspert og administrerende direktør for password management firma LogMeOnce. Kevin har opbygget sig et navn i sikkerhedsbranchen. Han har lanceret flere forskellige infosec-virksomheder, hvoraf et - Trust Digital, der er specialiseret i smartphone-sikkerhed på virksomhedsniveau - var erhvervet af McAfee i 2010.

Kevins ekspertise inden for sikkerhedsområdet er ubestridelig, og jeg ønskede at finde ud af, hvad han gjorde ved dette seneste dataovertrædelse. Over en uge af e-mails, der blev sendt en tirsdag aften, grillede jeg ham over, hvem der muligvis stod bag det lækkende, hvad der var så galt med Spotifys svar, og hvad berørte brugere kan gøre for at beskytte sig selv.

instagram viewer

Lækagens anatomi

Når Ashley Madison brister dukkede som en overmoden cantaloupe Ashley Madison lækker ingen big deal? Tænk igenDiskret online datingside Ashley Madison (primært målrettet mod snyder ægtefæller) er blevet hacket. Dette er dog et langt mere alvorligt problem, end der er skildret i pressen, med betydelige konsekvenser for brugernes sikkerhed. Læs mere , det afslørede milde hemmelige hemmeligheder på det mørke web. Datadumpen, der blev målt i gigabyte, listede alt fra biografiske oplysninger fra webstedets registranter til endda deres niche-seksuelle præferencer. Hvordan sammenligner Spotify-lækagen?

”For så vidt angår hvor meget data der er lækket, er der kun nævnt, at et uspecificeret 'hundreder' af konti er blevet kompromitteret. Kontooplysninger som betalingsoplysninger og kreditkortoplysninger var ikke inkluderet i lækagen, men e-mails, brugernavne, adgangskoder, kontotype og yderligere kontooplysninger var. ” - Kevin Shahbazi

Der er stadig ingen oplysninger om, hvem der stod bag angrebet, selvom det blev offentliggjort af en bruger med navnet "Drakia12‘På Pastebin. Kevin er åben for muligheden for, at selve dumpingen muligvis ikke var så ny, og i stedet kom fra konti, der allerede var lækket på det mørke web Rejse til det skjulte web: En guide til nye forskereDenne vejledning tager dig med på en tur gennem de mange niveauer på det dybe web: databaser og information tilgængelig i akademiske tidsskrifter. Endelig kommer vi til Tor's porte. Læs mere , og er nu i en bredere cirkulation. Logins til Spotify og andre streamingwebsteder som Netflix er tilgængelige at købe på de grimmere dele af Internettet og i henhold til en McAfee Labs-rapport, disse logins cirkuleres kontinuerligt af cyberkriminelle, når de først er blevet kompromitteret ”.

Kevin antydede også, at et "brute force" -angreb muligvis kunne være bag lækagen, idet han sagde: "En anden mulig kilde [til lækagen] er en program bruges til at 'kamme' gennem adgangskoder, eller blot forsøge flere forskellige kodeordkombinationer, indtil det finder det rigtige en".

Dette synes usandsynligt, da de fleste tjenester nu begrænser mængden af ​​mislykkede loginforsøg, som en bruger kan gøre. Det er dog ikke umuligt. I 2009 Twitter-konti for Rick Sanchez, Bill O’Reilly og Britney Spears blev kompromitteret af hackere, og stødende beskeder blev sendt.

sancheztwitter

Dette angreb var kun muligt, fordi Twitter på det tidspunkt ikke begrænsede loginforsøg, og en administrator havde en svag ordbogskodeord (det var "lykke").

Jeg ønskede at vide, hvordan denne lækage sammenlignet med andre højprofilerede lækager, såsom Ashley Madison, PlayStation Network og Mate1 lækager. Kevin sagde, at i modsætning til andre bemærkelsesværdige lækager, "ejer" ikke Spotify det. De tager ikke ansvar. Han tilføjede heller ikke, at de "er proaktive til at beskytte deres kunders information". Shahbazi bekymrer sig også for, at lækagen kan være overturen af ​​noget meget større.

”Ved at offentliggøre en lille stikprøve af data påståede hackere har måske simpelthen ønsket at placere Spotify i en defensiv position. Så efter et kort stykke tid, efter at de har malket kontoen, vil de sandsynligvis offentliggøre resten af ​​datadumpen. Hvis det er deres mål, er der mere forlegenhed, og ledere kan ende med at miste deres positioner hos Spotify. ” - Kevin Shahbazi

Hvorfor Spotify?

Det mest forundrende ved Spotify-hacket er måske, at det er et så usandsynligt mål. For en cyber-kriminel, lokke af et kompromitteret PayPal eller online bankkonto Er Online Banking sikkert? Oftest, men her er 5 risici, du skal vide omDer er meget at lide ved online bank. Det er praktisk, kan forenkle dit liv, du kan endda få bedre besparelser. Men er onlinebank så sikker og sikker, som det skal være? Læs mere er ubestridelig. Men Spotify er ikke en finansiel institution. Det er et musikwebsted. Jeg spurgte Kevin, hvorfor en hacker måske kunne målrette det.

”Værdien i at angribe Spotify eller andre lignende tjenester varierer fra hacker til hacker. I dette tilfælde synes gennemsigtighed at være det mest sandsynlige motiv bag den nylige lækage, for at vise offentligheden, at deres information er ikke nødvendigvis sikker med platformen og i sidste ende forårsager det forlegenhed for brandet. ” - Kevin Shahbazi

Mange mennesker vælger at linke deres Facebook-konti med Spotify. Dette forenkler login og tilføjer også en social dimension til tjenesten. Brugere kan dele deres yndlingsspor med deres venner og få anbefalinger.

Profil

Kan dette føre til yderligere smerter for de berørte brugere? Potentielt sagde Kevin. Især hvis brugeren bruger et duplikatadgangskode.

”Duplicerede adgangskoder (eller genbrug af en enkelt adgangskode på tværs af forskellige tjenester) kan være et potentielt problem. Da enhver nu kan få adgang til hundredvis af Spotify-login, giver dette dem nøglen til andre konti og tjenester, der bruger det lækkede kodeord). ” - Kevin Shahbazi

Spotifys svar

I betragtning af Spotifys høje profil var det uundgåeligt, at virksomheden i sidste ende ville opleve en slags sikkerhedsproblem. Men i dette tilfælde har det været overraskende nonchalant omkring alt.

”Mens [i fortiden] har de været proaktive med at nulstille brugeradgangskoder til konti, der ser ud til at være hacket, og har sagt, at de ofte scanner steder som Pastebin til Spotify-legitimationsoplysninger, de har ikke gjort det med det seneste påståede hack, på trods af hundredvis af Spotify-legitimationsoplysninger, der vises online. ” - Kevin Shahbazi

Berørte kunder har været nødt til aktivt at nå ud til Spotify for at genvinde adgang til deres konti. Ifølge posteringer på Twitter og forskellige artikler i teknologipressen har dette ikke været en let opgave. Desværre er dette ikke en isoleret begivenhed for Spotify.

“Spotify har benægtet eksistensen af ​​lignende påståede hacks, som angiveligt fandt sted i november 2015 og igen dette sidste februar. I alt modsætter Spotifys offentlige erklæringer deres kunders oplevelser. ” - Kevin Shahbazi

Kevin er ikke sikker på, hvorfor Spotify har været så voldsomt uigennemsigtig om eksistensen (eller på anden måde) af et hack, eller om det var offer for brugerfejl. Han er dog bekymret for, at "deres manglende gennemsigtighed kun skader deres brand, omdømme og mest af alt deres kunder".

Hvad kan berørte brugere gøre?

Bogstaveligt talt er hundredvis af brugere blevet påvirket af lækagen. Der er en meget reel mulighed for, at flere konti er kompromitteret, men bare ikke er lækket endnu. Jeg spurgte Kevin, hvilke foranstaltninger Spotify-brugere skulle tage for at beskytte sig selv.

”Uanset om det er hacket eller ej, skal alle Spotify-brugere være opmærksomme på deres konti. For dem, hvis oplysninger er kompromitteret, skal de straks ændre deres loginoplysninger for enhver konti, der brugte den samme adgangskode, samt overvåger alle finansielle konti, der kan være knyttet til Spotify. De skal også kontakte Spotify for at give dem besked om problemet med deres konto samt for at nulstille det. ” - Kevin Shahbazi

LeakedAccounts

Kevin tilføjede, at de, der var heldige nok til ikke at blive inkluderet i datadumpen, også skulle tage forholdsregler. Han anbefaler, at alle brugere nulstiller deres adgangskoder, og på alle enheder, hvor Spotify er installeret, logger brugerne ud og derefter logger ind igen. Han understregede også farerne ved at stole på duplikate adgangskoder.

”Dette er endnu et tilfælde, hvor duplikate adgangskoder vender tilbage for at skade dem, der leder efter let adgang til flere konti. Selvom det kan se ud som om Spotifys loginoplysninger blev hacket, og alle andre konti er sikre, hvis der var en duplikatadgangskode brugt, kunne det bruges til at logge ind på andre konti ved hjælp af disse oplysninger og skabe en domino-effekt. ” - Kevin Shahbazi

Forebyggelse er bedre end kur

Det er umuligt for forbrugere at forhindre, at deres data lækkes af en service, de bruger, da de ikke er i deres hænder. Tjenesten skal have god sikkerhedspraksis og god adgangskodehygiejne. Men hvad kan forbrugere gøre for at begrænse deres eksponering for fremtidige lækager? Kevin understregede på ny, at brugerne skulle undgå duplikat-adgangskoder og om muligt bruge to-faktor-godkendelse.

”En anden måde, hvorpå læsere kan sikre, at deres adgangskodesikkerhed er stærk, er ved at bruge tofaktorautentisering (2FA) Hvad er tofaktorautentisering, og hvorfor du skal bruge denTo-faktor-godkendelse (2FA) er en sikkerhedsmetode, der kræver to forskellige måder at bevise din identitet på. Det bruges ofte i hverdagen. For eksempel kræver betaling med et kreditkort ikke kun kortet, ... Læs mere , hvor brugerne ud over en adgangskode er forpligtet til at give et andet stykke information, f.eks et fingeraftryks-, pinkode- eller sikkerhedsspørgsmål, som kun de ville være i stand til at give. ” - Kevin Shahbazi

Ikke overraskende anbefaler Kevin brugen af ​​en adgangskodemanager for at gemme komplekse adgangskoder sikkert. Han sagde "en adgangskodemanager Hvordan kodeordledere holder dine adgangskoder sikreAdgangskoder, der er svære at knække, er også svære at huske. Vil du være sikker? Du har brug for en adgangskodemanager. Her er, hvordan de fungerer, og hvordan de holder dig i sikkerhed. Læs mere er en enkel måde at forhindre hackere i at ødelægge dit liv. Disse krypterer adgangskoder i et sikkert 'hvælv', som brugeren kan få adgang til via en hovedadgangskode. ” Han tilføjede, at disse gør det lettere at bruge sikre, komplekse adgangskoder.

”Der er mange gratis, pålidelige adgangskodeadministratorer. Sørg for, at du bruger en velrenommeret. Mange af dem gør mere end blot at gemme din adgangskode, så kig efter dem, der bruger "injektion" til at indsætte adgangskoder i de rigtige felter i stedet for blot at kopiere og indsætte fra udklipsholderen. Dette hjælper dig med at undgå at blive angrebet via keyloggers. ” - Kevin Shahbazi

Afslutter

Kevin er måske med rette forstyrret af det milde svar fra Spotify på hundreder af deres brugerkonti, der sprøjtes på Pastebin. Hvorvidt denne lækage er en engangs, eller om den er tegn på noget større, der kommer frem, er endnu ikke synlig.

Vi forsøgte at komme i kontakt med Spotify for at kommentere denne historie, men var ikke i stand til det. Hvis vi hører tilbage fra virksomheden, opdaterer vi denne artikel med dens svar.

Billedkreditter: Vdovichenko Denis / Shutterstock.com

Matthew Hughes er en softwareudvikler og forfatter fra Liverpool, England. Han findes sjældent uden en kop stærk sort kaffe i hånden og forguder absolut sin Macbook Pro og hans kamera. Du kan læse hans blog på http://www.matthewhughes.co.uk og følg ham på twitter på @matthewhughes.