reklama

nejnovější únik Spotify možná ještě nejpodivnější. Na Pastebin byly postříkány stovky účtů. K těmto účtům již byl přistupován a mnoho z nich změnilo své e-maily. Nejenže nevíme, kdo je za únikem, Spotify je neústupný, že nebyl hacknut. Co je tedy? opravdu jdeš?

Abych to zjistil, domluvil jsem si rozhovor s Kevinem Shahbazim, bezpečnostním expertem a generálním ředitelem firmy pro správu hesel LogMeOnce. Kevin si vybudoval jméno v bezpečnostním průmyslu. Založil několik různých infosec společností, z nichž jedna - Trust Digital, která se specializuje na zabezpečení smartphonů na podnikové úrovni - byla získala společnost McAfee v roce 2010.

Odbornost Kevina v oblasti bezpečnosti je nepopiratelná a chtěl jsem zjistit, co udělal z tohoto nejnovějšího porušení dat. V návaznosti na e-maily zasílané v úterý večer jsem ho griloval na tom, kdo by mohl být za únikem, co bylo špatného na reakci Spotify a na to, co mohou dotčení uživatelé udělat, aby se chránili.

Anatomie úniku

Když debutuje Ashley Madison

instagram viewer
prasklo jako přezrálý meloun Ashley Madison Leak Žádný velký obchod? Zamyslete se znovuDiskrétní online seznamka Ashley Madison (zaměřená především na podvádění manželů) byla hackována. Jedná se však o mnohem závažnější problém, než jaký byl vylíčen v tisku, se značnými důsledky pro bezpečnost uživatelů. Přečtěte si více , odhalilo na Temném webu strašlivá tajemství milionů. Výpis dat, který měřil v gigabajtech, obsahoval vše od životopisných informací žadatelů o registraci na webu, dokonce až po jejich specifické sexuální preference. Jak porovnává únik Spotify?

„Pokud jde o množství údajů, které byly úniky, došlo pouze ke zmínce o tom, že došlo k ohrožení nespecifikovaných„ stovek “účtů. Informace o účtu, jako jsou platební údaje a informace o kreditní kartě, nebyly do úniku zahrnuty, ale e-maily, uživatelská jména, hesla, typ účtu a další podrobnosti o účtu byly. “ - Kevine Shahbazi

Stále neexistují žádné informace o tom, kdo za útokem stojí, ačkoli uživatel publikoval název ‘Drakia12‘Na Pastebinu. Kevin je otevřený možnosti, že samotný výpis nemusí být úplně nový a místo toho pochází z účtů, které již byly přeneseny na temný web Cesta do skrytého webu: Průvodce pro nové vědceTato příručka vás provede prohlídkou mnoha úrovní hlubokého webu: databází a informací dostupných v akademických časopisech. Nakonec dorazíme k branám Tor. Přečtěte si více , a nyní vstupují do širšího oběhu. Přihlašovací údaje pro Spotify a další streamingové weby, jako je Netflix, je možné zakoupit v rušnějších částech internetu a podle zpráva společnosti McAfee Labs, tyto přihlašovací údaje jsou kybernetickými zločinci neustále rozšiřovány, jakmile jsou ohroženy. “

Kevin také naznačil, že za únikem může být útok „hrubou silou“ a řekl: „Dalším možným zdrojem [úniku] je program používaný k „hřebenování“ pomocí hesel, nebo se pouze pokouší o několik různých kombinací hesel, dokud nenajde správné jeden".

Zdá se to nepravděpodobné, protože většina služeb nyní omezuje počet neúspěšných pokusů o přihlášení, které může uživatel provést. Není to však nemožné. V roce 2009 Twitter účty Ricka Sancheze, Billa O'Reillyho a Britney Spearsové byli hackery ohroženi, a byly zveřejněny urážlivé zprávy.

sancheztwitter

Tento útok byl možný pouze proto, že v té době Twitter neomezoval pokusy o přihlášení a jeden správce měl slabé heslo do slovníku (to bylo "štěstí").

Chtěl jsem vědět, jak tento únik ve srovnání s jinými vysoce profilovanými úniky, jako jsou Ashley Madison, PlayStation Network a Mate1 úniky. Kevin řekl, že na rozdíl od jiných významných netěsností, Spotify to „nevlastní“. Neberou odpovědnost. Dodal také, že „nejsou aktivní v ochraně informací svých zákazníků“. Shahbazi se také obává, že únik může být předehrou něčeho mnohem většího.

"Zveřejněním malého vzorku dat mohli údajní hackeři jednoduše chtít uvést Spotify do obranného postavení." Po krátké době poté, co dojili účet, pravděpodobně zveřejní zbytek výpisu dat. Pokud je to jejich cíl, pak přijde více rozpaků a vedení by nakonec mohli ztratit své pozice ve Spotify. “ - Kevin Shahbazi

Proč Spotify?

Asi nejzajímavější z hacku Spotify je, že je to tak nepravděpodobný cíl. Pro kybernetického zločince přitažlivost kompromitovaného PayPal nebo účet online bankovnictví Je online bankovnictví bezpečné? Většinou, ale tady je 5 rizik, o kterých byste měli vědětO online bankovnictví je toho hodně. Je to pohodlné, může vám zjednodušit život, můžete dokonce dosáhnout lepších úspor. Je však internetové bankovnictví stejně bezpečné a bezpečné, jak by mělo být? Přečtěte si více je nepopiratelné. Spotify však není finanční instituce. Je to hudební web. Zeptal jsem se Kevina, proč by ho hacker mohl zacílit.

„Hodnota útoku na Spotify nebo jiné podobné služby se liší od hackera k hackerovi. V tomto případě se zdá, že transparentnost je nejpravděpodobnějším motivem nedávné netěsnosti, aby veřejnosti ukázala, že jejich informace nejsou nutně bezpečné na platformě a v konečném důsledku způsobují rozpaky vůči značce. “ - Kevine Shahbazi

Mnoho lidí se rozhodne propojit své účty Facebook s Spotify. To zjednodušuje přihlašování a také přidává do služby sociální rozměr. Uživatelé mohou sdílet své oblíbené skladby se svými přáteli a získávat doporučení.

Profil

Mohlo by to vést k další bolesti pro postižené uživatele? Možná, řekl Kevin. Obzvláště pokud uživatel používá duplicitní heslo.

„Duplicitní hesla (nebo opakované použití jednoho hesla v různých službách) může být potenciálním problémem. Protože kdokoli má nyní přístup ke stovkám přihlašovacích údajů Spotify, dává jim klíč ke všem dalším účtům a službám, které používají uniklé heslo). “ - Kevin Shahbazi

Reakce Spotify

Vzhledem k vysokému profilu společnosti Spotify bylo nevyhnutelné, že by společnost nakonec měla nějaké bezpečnostní problémy. Ale v tomto případě to bylo překvapivě neochotné o všem.

„Zatímco [v minulosti] byli aktivní v resetování uživatelských hesel u účtů, které se zdají být napadeny hackery, a říkají, že často prohledávají weby jako Pastebin za pověření Spotify, neučinili tak u nejnovějšího údajného hacku, přestože se stovky pověření Spotify objevují online. “ - Kevine Shahbazi

Postižení zákazníci se museli aktivně obrátit na Spotify, aby znovu získali přístup ke svým účtům. Podle příspěvků na Twitteru a různých článků v technologickém tisku to nebyl snadný úkol. Bohužel toto není pro Spotify izolovaná událost.

„Spotify popřel existenci podobných údajných hacků, které se údajně odehrály v listopadu 2015 a znovu letos v únoru. Celkově lze říci, že veřejná prohlášení Spotify jsou v rozporu se zkušenostmi jejich zákazníků. “ - Kevin Shahbazi

Kevin si není jistý, proč byl Spotify tak vehementně neprůhledný ohledně existence (nebo jiného) hacku, nebo zda se stal obětí uživatelské chyby. Obává se však, že „jejich nedostatek transparentnosti poškozuje pouze jejich značku, pověst a především jejich zákazníky“.

Co mohou uživatelé s postižením dělat?

Doslova úniky byly ovlivněny doslova stovky uživatelů. Existuje velmi reálná možnost, že došlo k ohrožení více účtů, ale zatím nedošlo k úniku. Zeptal jsem se Kevina, jaká opatření by uživatelé Spotify měli přijmout, aby se chránili.

„Ať už jsou hacknuti nebo ne, všichni uživatelé Spotify by si měli být vědomi svých účtů. Pro ty, jejichž informace byly ohroženy, by měli okamžitě změnit své přihlašovací údaje pro všechny účty, které používají stejné heslo, a také monitorují všechny finanční účty, ke kterým může být připojen Spotify. Musí se také obrátit na Spotify, aby je informovali o problému s jejich účtem a resetovali jej. “ - Kevin Shahbazi

Únikové účty

Kevin dodal, že ti, kdo měli to štěstí, že nebyli zahrnuti do výpisu dat, by také měli přijmout preventivní opatření. Doporučuje, aby všichni uživatelé resetovali svá hesla a na všech zařízeních, na kterých je nainstalován Spotify, se uživatelé odhlásili a znovu se přihlásili. Zdůraznil také nebezpečí spoléhání se na duplicitní hesla.

„Je to další případ, kdy se duplicitní hesla vracejí, aby poškodily ty, kteří hledají snadný přístup k více účtům. I když se to může zdát, že přihlašovací informace Spotify byly napadeny hackery a všechny ostatní účty jsou v bezpečí, pokud bylo duplicitní heslo použité, mohlo by být použito pro úspěšné přihlášení k jiným účtům využívajícím tyto informace a vytvářející dominový efekt. “ - Kevine Shahbazi

Prevence je lepší než léčba

Je nemožné, aby spotřebitelé zabránili úniku svých dat pomocí služby, kterou používají, protože to není v jejich rukou. Služba musí mít správné bezpečnostní postupy a dobrou hygienu hesla. Co však mohou spotřebitelé udělat, aby omezili vystavení budoucím únikům? Kevin znovu zdůraznil, že uživatelé by se měli vyvarovat duplicitních hesel a pokud je to možné, používat dvoufaktorové ověření.

„Další možností, jak si mohou čtenáři zajistit zabezpečení heslem, je využití dvoufaktorové ověřování (2FA) Co je dvoufaktorové ověření a proč byste ho měli používatDvoufázové ověřování (2FA) je bezpečnostní metoda, která vyžaduje dva různé způsoby prokázání vaší identity. Běžně se používá v každodenním životě. Například platba kreditní kartou vyžaduje nejen kartu, ... Přečtěte si více , kde jsou uživatelé kromě hesla povinni poskytnout další informace, například otisk prstu, PIN nebo bezpečnostní otázka, kterou by mohli poskytnout pouze oni. “ - Kevine Shahbazi

Není divu, že Kevin doporučuje použití správce hesel, aby bylo možné bezpečně ukládat složitá hesla. Řekl "správce hesel Jak správci hesel udržují vaše hesla v bezpečíHesla, která se těžko lámou, je také těžké si zapamatovat. Chcete být v bezpečí? Potřebujete správce hesel. Tady je, jak fungují a jak vás udržují v bezpečí. Přečtěte si více je jednoduchý způsob, jak zabránit hackerům, aby ve vašem životě vyvolali chaos. Tato šifrování hesel v zabezpečeném „trezoru“, ke kterému má uživatel přístup prostřednictvím jednoho hlavního hesla. “ Dodal, že to usnadňuje používání bezpečných a složitých hesel.

„Existuje mnoho bezplatných a spolehlivých správců hesel. Ujistěte se, že používáte seriózní. Mnohé z nich dělají víc než jen ukládat své heslo, takže hledejte ty, které používají „vstřikování“ k vložení hesel do správných polí, spíše než jednoduše kopírovat a vkládat ze schránky. To vám pomůže vyhnout se útokům pomocí keyloggerů. “ - Kevin Shahbazi

Zabalení

Kevin, možná správně, je znepokojen mírnou reakcí Spotify na stovky jejich uživatelských účtů, které byly nasprejovány na Pastebin. To, zda je tento únik jednorázový, nebo zda svědčí o něčem větším, je třeba vidět.

Pokusili jsme se kontaktovat Spotify pro komentáře k tomuto příběhu, ale nebyli jsme schopni tak učinit. Pokud se nám ozve společnost, budeme tento článek aktualizovat s jeho reakcí.

Obrazové kredity: Vdovichenko Denis / Shutterstock.com

Matthew Hughes je vývojář a spisovatel softwaru z anglického Liverpoolu. Málokdy je nalezen bez šálku silné černé kávy v ruce a absolutně zbožňuje svůj Macbook Pro a fotoaparát. Jeho blog si můžete přečíst na adrese http://www.matthewhughes.co.uk a následujte ho na twitteru na @ matthewhughes.