Oglas

The najnovejše puščanje Spotify morda najbolj čudna doslej. Na Pastebin je bilo razplamtenih sto računov. Do teh računov je že dostopen, številni pa so spremenili tudi svoja e-poštna sporočila. A ne samo, da ne vemo, kdo stoji za uhajanjem, Spotify je prepričan, da ni bil vdrl. Torej, kaj je res nadaljevati?

Da bi to ugotovil, sem se dogovoril za klepet s Kevinom Shahbazijem, strokovnjakom za varnost in izvršnim direktorjem podjetja za upravljanje gesla LogMeOnce. Kevin si je sam ustvaril ime v varnostni industriji. Uvedel je več različnih infosec podjetij, od katerih je bilo eno - Trust Digital, ki je specializirano za varnost pametnih telefonov na ravni podjetij. kupil McAfee leta 2010.

Strokovno znanje Kevina na področju varnosti je nesporno in želel sem izvedeti, kaj je ustvaril s to zadnjo kršitvijo podatkov. Med naletom e-poštnih sporočil, poslanih v torek zvečer, sem ga narisal, kdo lahko stoji za puščanjem, kaj je bilo tako narobe z odzivom Spotifyja in kaj lahko prizadeti uporabniki storijo, da se zaščitijo.

Anatomija puščanja

Ko bo Ashley Madison debaciral poskočen kot prezrela kantalupa Ashley Madison pušča brez velike ponudbe? Pomisli še enkratDiskretna spletna stran za zmenke Ashley Madison (namenjena predvsem goljufanju zakoncev) je bila vložena. Vendar je to veliko bolj resno vprašanje, kot je bilo predstavljeno v tisku, s pomembnimi posledicami za varnost uporabnikov. Preberi več , je razkril mračne skrivnosti milijonov na temnem spletu. Izpis podatkov, ki se meri v gigabajtih, je vseboval vse od biografskih podatkov registracijskih zavezancev spletnega mesta do celo nišnih spolnih želja. Kako se primerja puščanje Spotifyja?

"Kar zadeva, koliko podatkov je puščalo, je bilo omenjeno le, da je bilo ogroženih nedoločenih" sto "računov. Podatki o računu, kot so podatki o plačilu in podatki o kreditni kartici, niso bili vključeni v uhajanje, vendar so bila e-pošta, uporabniška imena, gesla, vrsta računa in dodatne podrobnosti računa. " - Kevin Šahbazi

Še vedno ni podatkov, kdo je stal za napadom, čeprav ga je objavil uporabnik z imenom 'Drakia12Na Pastebin. Kevin je odprt za možnost, da sam smetišče morda ni vse tako nov, namesto tega pa je prišel iz računov, ki so že pricurljali na temni splet Potovanje v skriti splet: Vodnik za nove raziskovalceTa priročnik vas bo popeljal na ogled po številnih nivojih globokega spleta: baze podatkov in informacije, ki so na voljo v akademskih revijah. Končno bomo prispeli do vrat Tor. Preberi več , in zdaj vstopajo v širši obtok. Prijava za Spotify in druga spletna mesta za pretakanje, kot je Netflix, je na voljo za nakup v bolj mračnih delih interneta in glede na to poročilo McAfee Labskibernetski kriminalci nenehno širijo te prijave, ko so bili ogroženi. "

Kevin je tudi namignil, da se lahko za puščanjem skriva napad "grobe sile", rekoč: "Drugi možni vir [puščanja] je program, ki se uporablja za 'česanje' z gesli ali pa zgolj poskusi več različnih kombinacij geslov, dokler ne ugotovi, da so prave eno ”.

To se zdi malo verjetno, saj večina storitev zdaj omejuje količino neuspelih poskusov prijave, ki jih lahko opravi uporabnik. Vendar to ni nemogoče. Leta 2009 so Twitterjevi računi Ricka Sancheza, Billa O'Reillyja in Britney Spears so bili ogroženi hekerjiin objavljena so bila žaljiva sporočila.

sancheztwitter

Ta napad je bil mogoč le zato, ker takrat Twitter ni omejeval poskusov prijave in en skrbnik je imel šibko slovarsko geslo (bilo je "Sreča").

Želel sem vedeti, kako to puščanje v primerjavi z drugimi odmevnimi puščanji, kot so uhajanja Ashley Madison, PlayStation Network in Mate1. Kevin je dejal, da Spotify za razliko od drugih opaznih puščanj ni "lastnik". Ne prevzemajo odgovornosti. Prav tako ni dodal, da so "dejavni pri varovanju podatkov svojih strank". Shahbazi tudi skrbi, da bi utegnilo biti utesnitev nečesa veliko večjega.

"Z objavo majhnega vzorca podatkov naj bi domnevni hekerji preprosto želeli Spotifyja postaviti v obrambni položaj. Po kratkem času bodo po tem, ko bodo račun napolnili, objavljeni preostali zapisnik podatkov. Če je to njihov cilj, potem bo prišlo še več zadrege in vodstveni delavci bi lahko izgubili svoje položaje na Spotifyju. " - Kevin Shahbazi

Zakaj Spotify?

Morda je tisto, kar najbolj zagovarja pri krampu Spotify, ta, da je tako malo verjetno cilj. Kibernetskemu kriminalcu je privlačnost ogroženega PayPala oz spletni bančni račun Ali je spletno bančništvo varno? Večinoma, toda tukaj je 5 tveganj, o katerih bi morali vedetiPri spletnem bančništvu je veliko všeč. To je priročno, lahko vam poenostavi življenje, morda celo dosežete boljše prihranke. Toda, ali je spletno bančništvo tako varno in varno? Preberi več je nesporno. Spotify pa ni finančna institucija. To je glasbeno spletno mesto. Kevina sem vprašal, zakaj bi ga heker lahko ciljal.

»Vrednost napada na Spotify ali druge podobne storitve se razlikuje od hekerja do hekerja. V tem primeru se zdi, da je preglednost najverjetnejši motiv zadnjega puščanja, da se javnosti pokaže, da je njihovo informacije niso nujno varne s platformo, na koncu pa blagovna znamka povzroči zadrego. " - Kevin Šahbazi

Veliko ljudi se odloči za povezavo svojih Facebook računov s Spotifyjem. To poenostavi prijavo in doda tudi socialno razsežnost. Uporabniki lahko svoje najljubše skladbe delijo s prijatelji in dobijo priporočila.

Profil

Ali lahko to privede do dodatnih bolečin pri prizadetih uporabnikih? Potencialno je dejal Kevin. Še posebej, če uporabnik uporablja podvojeno geslo.

»Podvojena gesla (ali ponovna uporaba enega gesla v različnih storitvah) bi lahko bila potencialna težava. Ker lahko zdaj vsakdo dostopa do stotine prijav Spotify, jim to omogoči ključ do vseh drugih računov in storitev, ki uporabljajo izpuščeno geslo). " - Kevin Shahbazi

Spotifyjev odgovor

Glede na odmevnost Spotifyja je bilo neizogibno, da bo podjetje sčasoma naletelo na kakšno varnostno težavo. Toda v tem primeru je vse presenetljivo nonšalantno.

"Medtem ko so [v preteklosti] delovali proaktivno pri ponastavitvi uporabniških gesel za račune, za katere se zdi, da so vdrli, in pravijo, da pogosto skenirajo spletna mesta, Pastebin za poverilnice za Spotify, tega niso storili z najnovejšim domnevnim krampom, kljub stotinam poverilnic Spotify, ki se pojavljajo v spletu. " - Kevin Šahbazi

Prizadete stranke so se morale aktivno obrniti na Spotify, da so si pridobile dostop do svojih računov. Glede na objave na Twitterju in različne članke v tehnološkem tisku to ni bila lahka naloga. Na žalost to za Spotify ni osamljen dogodek.

"Spotify je zanikal obstoj podobnih domnevnih hekerjev, ki so se domnevno zgodili novembra 2015 in znova v preteklem februarju. Na splošno so javne izjave Spotifyja v nasprotju z izkušnjami njihovih strank. " - Kevin Shahbazi

Kevin ni prepričan, zakaj je Spotify tako močno nepregleden glede obstoja (ali kako drugače) kramplja ali je bil žrtev napake uporabnika. Vendar pa skrbi, da "njihovo nepreglednost le škodi njihovi blagovni znamki, ugledu in predvsem njihovim strankam".

Kaj lahko storijo prizadeti uporabniki?

Dobesedno na stotine uporabnikov je prizadelo uhajanje. Obstaja resnična možnost, da je bilo več računov ogroženih, vendar le še niso bili objavljeni. Kevina sem vprašal, katere ukrepe morajo uporabniki Spotifyja sprejeti, da se zaščitijo.

»Ne glede na to, ali so vdrli ali ne, vsi uporabniki Spotifyja bi morali biti seznanjeni s svojimi računi. Za tiste, katerih podatki so bili ogroženi, morajo nemudoma spremeniti svoje prijavne podatke računi, ki uporabljajo isto geslo, in spremljajo morebitne finančne račune, ki so lahko povezani Spotify. Prav tako se morajo obrniti na Spotify, da jim sporočijo težavo s svojim računom in ga tudi ponastavijo. " - Kevin Shahbazi

Leaked Accounts

Kevin je dodal, da bi morali tudi tisti, ki so imeli srečo, da niso bili vključeni v zbirko podatkov, sprejeti. Vsem uporabnikom priporoča, da ponastavijo gesla, na vseh napravah, kjer je nameščen Spotify, pa se uporabniki odjavijo in se nato ponovno prijavijo. Poudaril je tudi nevarnost zanašanja na podvojena gesla.

»To je še en primer, ko se podvojena gesla vrnejo v škodo tistim, ki iščejo enostaven dostop do več računov. Čeprav se morda le zdi, da so bili podatki za prijavo Spotifyja vloženi, vsi drugi računi pa varni, če je bilo podvojeno geslo Če ga uporabimo, bi se lahko uspešno prijavili v druge račune, ki uporabljajo te podatke, in ustvarili domino učinek. " - Kevin Šahbazi

Preprečevanje je boljše od zdravljenja

Potrošniki ne morejo preprečiti, da bi njihovi podatki puščali prek storitve, ki jo uporabljajo, saj to ni v njihovih rokah. Storitev mora imeti dobre varnostne prakse in dobro higieno gesla. Toda kaj lahko potrošniki storijo, da omejijo izpostavljenost prihodnjim uhajanjem? Kevin je ponovno poudaril, da se morajo uporabniki izogibati podvojenim geslom in po možnosti uporabljati dvofaktorno overjanje.

"Drugi način, kako lahko bralci zagotovijo, da je varnost gesla močna, je z uporabo dvofaktorna avtentikacija (2FA) Kaj je dvofaktorska overitev in zakaj jo morate uporabljatiDvofaktorska avtentikacija (2FA) je varnostna metoda, ki zahteva dva različna načina dokazovanja vaše identitete. Običajno se uporablja v vsakdanjem življenju. Na primer za plačilo s kreditno kartico ni potrebna samo kartica, ... Preberi več , kjer morajo uporabniki poleg gesla predložiti še en podatek, na primer natis prsta, PIN ali varnostno vprašanje, ki bi ga lahko posredovali le oni. " - Kevin Šahbazi

Presenetljivo je, da Kevin priporoča uporabo skrbnika gesel, da bi varno shranili zapletena gesla. Rekel je "skrbnik gesla Kako skrbniki gesla varujejo geslaGesla, ki jih je težko razbiti, si je težko zapomniti. Želite biti na varnem? Potrebujete skrbnika gesla. Tukaj je opisano, kako delujejo in kako vas varujejo. Preberi več je preprost način, kako preprečiti hekerjem, da v vašem življenju pustijo pustoš. Ta šifrirajo gesla v varnem "trezorju", do katerega lahko uporabnik dostopa z enim glavnim geslom. " Dodal je, da ti lažje uporabljajo varna, zapletena gesla.

"Obstaja veliko brezplačnih, zanesljivih upravljalcev gesel. Prepričajte se, da uporabljate uglednega. Mnogi od njih ne shranijo samo gesla, zato poiščite tista, ki za vstavljanje gesel v pravilna polja uporabljajo »injekcijo«, ne pa zgolj kopiranja in lepljenja iz odložišča. Tako se boste izognili napadu prek keyloggerjev. " - Kevin Shahbazi

Zavijanje

Kevina, morda prav, moti blag odziv Spotifyja na stotine njihovih uporabniških računov, ki so razpršeni na Pastebin. Ali je to puščanje enkratno ali pa kaže na nekaj večjega, bomo še videli.

Za komentar te zgodbe smo poskušali vzpostaviti stik s Spotifyjem, vendar nam tega ni uspelo. Če se od podjetja odzovemo, bomo ta članek posodobili z njegovim odzivom.

Slikovni krediti: Vdovičenko Denis / Shutterstock.com

Matthew Hughes je razvijalec programske opreme in pisatelj iz Liverpoola v Angliji. Redko ga najdemo brez skodelice močne črne kave v roki in absolutno obožuje svoj Macbook Pro in svoj fotoaparat. Njegov blog lahko preberete na http://www.matthewhughes.co.uk in mu sledite na twitterju na @matthewhughes.