Den seneste Spotify-læk kan være den mærkeligste endnu. Hundredvis af konti har været sprøjtet på Pastebin. Disse konti er allerede fået adgang, hvor mange har fået deres e-mails ændret. Men ikke kun ved vi, hvem der står bag lækagen, Spotify er stædig, det er ikke blevet hacket. Så hvad foregår der virkelig ?
For at finde ud af, arrangerede jeg en chat med Kevin Shahbazi, sikkerhedsekspert og administrerende direktør for password management firmaet LogMeOnce. Kevin har bygget sig et navn i sikkerhedsbranchen. Han har lanceret adskillige forskellige infosec-virksomheder, hvoraf den ene - Trust Digital, der specialiserer sig i smartphone-sikkerhed på virksomhedsniveau - blev erhvervet af McAfee i 2010.
Kevins ekspertise inden for sikkerhedssektoren er ubestridelig, og jeg ønskede at finde ud af, hvad han lavede af denne seneste dataskrænkelse. Over en flurry af e-mails sendt på en tirsdag aften, grillede jeg ham på, hvem der kunne være bagud, hvad var så galt med Spotify's svar, og hvad berørte brugere kan gøre for at beskytte sig selv.
Lækets anatomi
Da Ashley Madison-debaclen dukkede op som en overdreven cantaloupe Ashley Madison Læk Ingen Big Deal? Tænk igen Ashley Madison Læk Ingen Big Deal? Tænk igen Diskret online dating site Ashley Madison (målrettet primært til snydende ægtefæller) er blevet hacket. Men dette er et langt mere seriøst problem end det, der er blevet portrætteret i pressen, med betydelige konsekvenser for brugersikkerheden. Læs mere, det udsatte millioner af sordid hemmeligheder på Dark web. Datadumpen, som blev målt i gigabyte, opregnede alt fra de biografiske oplysninger fra områdets registranter til endda deres nisekseksuelle præferencer. Hvordan sammenligner Spotify lækagen?
"For så vidt som hvor mange data der er blevet lækket, er der kun nævnt, at en uspecificeret" hundredvis af konti er blevet kompromitteret. Kontooplysninger som betalingsoplysninger og kreditkortoplysninger blev ikke inkluderet i lækagen, men e-mails, brugernavne, adgangskoder, kontotype og yderligere kontooplysninger var. "- Kevin Shahbazi
Der er stadig ingen oplysninger om, hvem der var bag angrebet, selvom den blev udgivet af en bruger ved navn ' Drakia12 ' på Pastebin. Kevin er åben for muligheden for, at dumpen måske ikke er alt, hvad der er nyt, og i stedet kom fra konti, der allerede var lækket ud på Dark Web Journey Into The Hidden Web: En guide til ny forskers rejse i det skjulte web: En guide For nye forskere Denne vejledning tager dig på en tur gennem de mange niveauer af den dybe web: databaser og informationer tilgængelige i akademiske tidsskrifter. Endelig kommer vi til Tors porte. Læs mere, og går nu ind i en bredere omsætning. Logins for Spotify og andre streaming-websteder som Netflix er tilgængelige for at købe på de mørkere dele af internettet, og ifølge en McAfee Labs-rapport cirkuleres disse logins løbende af cyberkriminelle, når de er blevet kompromitteret. "
Kevin antydede også, at et "brute force" -angreb kan ligge bag lækagen og sige: "En anden mulig kilde [af lækagen] er et program, der bruges til at" kamme "gennem adgangskoder eller blot forsøge flere forskellige adgangskombinationer, indtil den finder det rigtige en".
Dette forekommer usandsynligt, da de fleste tjenester nu begrænser mængden af mislykkede loginforsøg, som en bruger kan lave. Det er dog ikke umuligt. I 2009 blev Twitter-kontiene for Rick Sanchez, Bill O'Reilly og Britney Spears sat i fare for hackere, og offensive meddelelser blev sendt.
Dette angreb var kun muligt, fordi Twitter på det tidspunkt ikke begrænsede loginforsøg, og en administrator havde et svagt ordbogskodeord (det var "lykke" ).
Jeg ville gerne vide, hvordan dette lækker sammenlignet med andre højt profilerede lækager, som Ashley Madison, PlayStation Network og Mate1 lækager. Kevin sagde, at i modsætning til andre andre bemærkelsesværdige lækager, spotify ikke "eje" det. De tager ikke ansvar. Han tilføjede heller ikke, at de "er aktive for at beskytte deres kunders oplysninger". Shahbazi bekymrer sig også for, at lækagen kan være overturen af noget meget større.
"Ved at udgive en lille stikprøve af data kunne påståede hackere simpelthen gerne sætte Spotify i en defensiv position. Så efter en kort periode, efter at de har malket kontoen, vil de sandsynligvis offentliggøre resten af datadumpen. Hvis det er deres mål, så er der mere skam at komme, og ledere kan ende med at miste deres positioner på Spotify. "- Kevin Shahbazi
Hvorfor Spotify?
Måske er det mest forvirrende om Spotify hacket, at det er sådan et usandsynligt mål. Til en cyber-kriminel er tiltrækningen af en kompromitteret PayPal eller online-bankkonto Er Online Banking Safe? For det meste, men her er 5 risici, du bør vide om, er online bank sikkerhed? For det meste, men her er 5 risici, du bør vide om der er meget at lide om online banking. Det er praktisk, kan forenkle dit liv, du kan endda få bedre besparelser. Men er internetbanken så sikker og sikker som den burde være? Læs mere er ubestrideligt. Men Spotify er ikke en finansiel institution. Det er en musik hjemmeside. Jeg spurgte Kevin, hvorfor en hacker måske målretter mod det.
"Værdien i at angribe Spotify eller andre lignende tjenester varierer fra hacker til hacker. I dette tilfælde synes gennemsigtighed at være det mest sandsynlige motiv bag den seneste lækage for at vise offentligheden, at deres information ikke nødvendigvis er sikker på platformen og i sidste ende forårsager forlegenhed over for mærket. "- Kevin Shahbazi
Mange vælger at forbinde deres Facebook-konti med Spotify. Dette forenkler indlogning, og tilføjer også en social dimension til tjenesten. Brugere kan dele deres yndlingsspor med deres venner og få anbefalinger.
Kunne dette føre til yderligere smerte for berørte brugere? Potentielt sagde Kevin. Især hvis brugeren bruger et duplikat kodeord.
"Duplicere adgangskoder (eller genbruge en enkelt adgangskode på tværs af forskellige tjenester) kan være et potentielt problem. Da nogen nu kan få adgang til hundredvis af Spotify logins, giver dette dem nøglen til andre konti og tjenester, der bruger den lækkede adgangskode). "- Kevin Shahbazi
Spotify's svar
I betragtning af Spotifys høje profil var det uundgåeligt, at selskabet i sidste ende ville opleve en form for sikkerhedsproblem. Men i dette tilfælde har det været overraskende nonchalant om alt.
"Mens de tidligere har været proaktive for at nulstille brugeradgangskoder til konti, der ser ud til at være hacket, og har sagt, at de ofte scanner websteder som Pastebin for Spotify-legitimationsoplysninger, har de ikke gjort det med det seneste påståede hack, til trods for hundredvis af Spotify legitimationsoplysninger vises online. "- Kevin Shahbazi
Berørte kunder har været nødt til aktivt at nå ud til Spotify for at genvinde adgangen til deres konti. Ifølge indlæg på Twitter og forskellige artikler i teknologipressen har det ikke været en nem opgave. Desværre er dette ikke en isoleret begivenhed for Spotify.
"Spotify har nægtet eksistensen af lignende påståede hacks, der angiveligt fandt sted i november 2015 og igen dette i løbet af februar. Samlet set strider Spotifys offentlige udsagn mod erfaringerne fra deres kunder. "- Kevin Shahbazi
Kevin er ikke sikker på, hvorfor Spotify har været så voldsomt uigennemsigtig om eksistensen (eller på anden måde) af et hack, eller om det var offer for brugerfejl. Men han bekymrer sig om, at "deres mangel på gennemsigtighed er kun skade deres mærke, omdømme og mest af alt deres kunder".
Hvad kan berørte brugere gøre?
Bogstaveligt talt har hundredvis af brugere været påvirket af lækagen. Der er en meget reel mulighed for at flere konti er blevet kompromitteret, men har ikke været lækket endnu. Jeg spurgte Kevin, hvilke foranstaltninger Spotify-brugere skal tage for at beskytte sig selv.
"Uanset om det er hacket eller ej, bør alle Spotify-brugere være opmærksomme på deres konti. For dem, hvis information er blevet kompromitteret, skal de straks ændre deres loginoplysninger for alle konti, der udnyttede samme adgangskode, samt overvåge eventuelle finansielle konti, der måtte være knyttet til Spotify. De skal også kontakte Spotify for at lade dem vide om problemet med deres konto samt at nulstille det. "- Kevin Shahbazi
Kevin tilføjede, at de, der var heldige nok til ikke at blive medtaget i datadumpen, også skulle tage forholdsregler. Han anbefaler, at alle brugere nulstiller deres adgangskoder, og på alle enheder, hvor Spotify er installeret, brugeres brugerne til at logge ud og derefter logge ind igen. Han understregede også farerne ved at stole på to gange adgangskoder.
"Dette er endnu et tilfælde, hvor duplikat adgangskoder kommer tilbage for at skade dem, der søger let adgang til flere konti. Selv om det måske bare virker som Spotifys loginoplysninger blev hacket og alle andre konti er sikre, hvis en duplikat kodeord blev brugt, kunne den bruges til at logge ind på andre konti ved hjælp af disse oplysninger, hvilket skabte en dominoeffekt. "- Kevin Shahbazi
Forebyggelse er bedre end kur
Det er umuligt for forbrugerne at forhindre deres data i at blive lækket af en tjeneste, de bruger, da det ikke er i deres hænder. Tjenesten skal have god sikkerhedspraksis og god adgangskodehygiejne. Men hvad kan forbrugerne gøre for at begrænse deres eksponering for fremtidige lækager? Kevin understregede igen, at brugerne skulle undgå duplikatadgangskoder og om muligt bruge tofaktorautentificering.
"En anden måde, som læsere kan sikre deres adgangskode sikkerhed er stærk er ved at bruge to-faktor autentificering (2FA) Hvad er tofaktor godkendelse, og hvorfor du skal bruge det Hvad er tofaktor godkendelse, og hvorfor du bør bruge det to- faktor autentificering (2FA) er en sikkerhedsmetode, der kræver to forskellige måder at bevise din identitet på. Det er almindeligt anvendt i hverdagen. For eksempel at betale med et kreditkort kræver ikke blot kortet, ... Læs mere, hvor ud over et kodeord brugerne skal levere et andet stykke information, f.eks. Et fingeraftryk, en PIN-kode eller et sikkerhedsspørgsmål, som kun de ville kunne levere. "- Kevin Shahbazi
Det er overraskende, at Kevin anbefaler brugen af en adgangskodeadministrator for sikkert at gemme komplekse adgangskoder. Han sagde "en adgangskode manager Hvordan Password Managers Keep Your Passwords Safe Hvordan Password Managers Bevare dine passwords Safe Passwords, der er svære at knække er også svært at huske. Vil du være sikker? Du har brug for en adgangskodeadministrator. Sådan fungerer de, og hvordan de holder dig trygge. Læs mere er en nem måde at forhindre hackere i at udføre kaos på dit liv. Disse krypterer adgangskoder i et sikkert 'hvælving', som brugeren kan få adgang til via et masteradgangskode. "Han tilføjede, at disse gør det nemmere at bruge sikre, komplekse adgangskoder.
"Der er mange gratis, pålidelige adgangskode ledere. Sørg for at du bruger en velrenommeret. Mange af dem gør mere end blot at gemme dit kodeord, så søg efter dem, der bruger "injektion" for at indsætte adgangskoder i de rigtige felter, snarere end blot at kopiere og indsætte fra udklipsholderen. Dette hjælper dig med at undgå at blive angrebet via keyloggers. "- Kevin Shahbazi
Afslutter
Kevin er måske med rette forstyrret af Spotify's milde svar til hundredvis af deres brugerkonti, der sprøjtes på Pastebin. Uanset om denne lækage er en engangsforanstaltning, eller hvis det er vejledende for noget større at komme, er det stadig at se.
Vi forsøgte at komme i kontakt med Spotify for at kommentere denne historie, men kunne ikke gøre det. Hvis vi hører tilbage fra virksomheden, opdaterer vi denne artikel med sit svar.
Billedkreditter: Vdovichenko Denis / Shutterstock.com