Рекламное объявление

последняя утечка Spotify может быть самым странным еще. Сотни аккаунтов были выплеснуты на Пастебина. Эти учетные записи уже были доступны, и многие из них изменили свою электронную почту. Но мы не только не знаем, кто стоит за утечкой, Spotify непреклонен, его не взломали. И что действительно продолжается?

Чтобы выяснить это, я организовал беседу с Кевином Шахбази, экспертом по безопасности и генеральным директором фирмы по управлению паролями. LogMeOnce. Кевин зарекомендовал себя в индустрии безопасности. Он основал несколько разных компаний, занимающихся информационными технологиями, одна из которых - Trust Digital, специализирующаяся на защите смартфонов на уровне предприятия, - была приобретено McAfee в 2010 году.

Опыт Кевина в области безопасности бесспорен, и я хотел узнать, что он сделал с этим последним взломом данных. Из-за потока писем, отправленных во вторник вечером, я уговорил его узнать, кто может быть за утечкой, что не так с ответом Spotify и что могут повлиять пользователи, чтобы защитить себя.

instagram viewer

Анатомия утечки

Когда разгром Эшли Мэдисон выскочил как перезрелая дыня Эшли Мэдисон: Утечка не большая сделка? Подумай еще разНебезрассудный сайт онлайн-знакомств Эшли Мэдисон (предназначенный, главным образом, для обмана супругов) был взломан. Однако это гораздо более серьезная проблема, чем это было представлено в прессе, со значительными последствиями для безопасности пользователей. Подробнее Он раскрыл грязные секреты миллионов на Темной паутине. В дампе данных, измеряемом в гигабайтах, перечислялись все, начиная от биографической информации владельцев регистраций на сайте и даже заканчивая их нишевыми сексуальными предпочтениями. Как сравнить утечку Spotify?

«Что касается утечки данных, то упоминалось лишь о том, что неизвестные« сотни »учетных записей были взломаны. Информация об учетной записи, такая как данные платежа и данные кредитной карты, не были включены в утечку, но электронные письма, имена пользователей, пароли, тип учетной записи и дополнительные данные учетной записи были ». Кевин Шахбази

О том, кто стоял за атакой, до сих пор нет информации, хотя она была опубликована пользователем по имени ‘Drakia12Pas на Pastebin. Кевин открыт для возможности того, что сам дамп может быть не таким уж новым, и вместо этого он пришел с учетных записей, на которые уже просочились темная паутина Путешествие в скрытую сеть: руководство для новых исследователейЭто руководство проведет вас по многим уровням глубокой сети: базы данных и информация, доступная в научных журналах. Наконец, мы дойдем до ворот Тора. Подробнее и сейчас вступают в более широкое обращение. Логины для Spotify и других потоковых сайтов, таких как Netflix, доступны для покупки в более мрачных частях Интернета, и в соответствии с отчет McAfee Labsэти логины постоянно распространяются киберпреступниками после их взлома ».

Кевин также намекнул, что причиной утечки может быть атака «грубой силой», сказав: «Другой возможный источник [утечки] - это программа, используемая для «прочесывания» с помощью паролей или простой попытки ввода нескольких различных комбинаций паролей, пока не будет найдена правильная один".

Это кажется маловероятным, поскольку большинство служб теперь ограничивают количество неудачных попыток входа в систему, которые может предпринять пользователь. Тем не менее, это не невозможно. В 2009 году аккаунты Рика Санчеса, Билла О'Рейли и Бритни Спирс в Твиттере были взломаны хакерамии оскорбительные сообщения были опубликованы.

sancheztwitter

Эта атака была возможна только потому, что в то время Twitter не ограничивал попытки входа в систему, а у одного администратора был слабый пароль словаря (это было "счастье").

Я хотел знать, как эта утечка по сравнению с другими громкими утечками, такими как утечки Эшли Мэдисон, PlayStation Network и Mate1. Кевин сказал, что в отличие от других известных утечек, Spotify не «владеет» им. Они не берут на себя ответственность. Он также добавил, что они «активно не защищают информацию своих клиентов». Шахбази также обеспокоен тем, что утечка может стать причиной чего-то гораздо большего.

«Публикуя небольшую выборку данных, якобы хакеры просто хотели поставить Spotify в оборонительную позицию. Затем, через некоторое время, после того, как они доят учетную запись, они, скорее всего, опубликуют оставшуюся часть дампа данных. Если это их цель, то наступает еще большее смущение, и руководители могут в конечном итоге потерять свои позиции в Spotify ». - Кевин Шахбази

Почему Spotify?

Возможно, что самое загадочное в хаке Spotify, так это то, что это такая маловероятная цель. Для киберпреступника привлекательность скомпрометированного PayPal или банковский счет онлайн Интернет-банкинг безопасен? Главным образом, но вот 5 рисков, о которых вы должны знатьВ онлайн-банкинге есть что понравиться. Это удобно, может упростить вашу жизнь, вы можете даже получить более высокие нормы сбережений. Но так ли безопасен и надежен онлайн-банкинг? Подробнее не вызывает сомнений. Но Spotify не является финансовым учреждением. Это музыкальный сайт. Я спросил Кевина, почему хакер может нацелиться на него.

«Ценность атаки на Spotify или другие подобные сервисы варьируется от хакера к хакеру. В этом случае прозрачность является наиболее вероятным мотивом недавней утечки, чтобы показать общественности, что их информация не обязательно защищена платформой и, в конечном итоге, вызывает смущение для бренда ». Кевин Шахбази

Многие люди предпочитают связывать свои учетные записи Facebook с Spotify. Это упрощает вход в систему, а также добавляет социальный аспект в сервис. Пользователи могут делиться своими любимыми треками со своими друзьями и получать рекомендации.

Профиль

Может ли это привести к дальнейшей боли для пострадавших пользователей? Потенциально, сказал Кевин. Особенно, если пользователь использует дублированный пароль.

«Дублирующие пароли (или повторное использование одного пароля в разных сервисах) могут быть потенциальной проблемой. Поскольку теперь любой может получить доступ к сотням входов в Spotify, это дает им ключ к любым другим учетным записям и службам, которые используют утечку пароля ». - Кевин Шахбази

Ответ Spotify

Учитывая высокий авторитет Spotify, было неизбежно, что компания в конечном итоге столкнется с проблемой безопасности. Но в этом случае это было удивительно небрежно во всем.

«Хотя [в прошлом] они активно сбрасывали пароли пользователей для учетных записей, которые, похоже, были взломаны, и говорили, что они часто сканируют такие сайты, как Pastebin для учетных данных Spotify, они не сделали этого с последним предполагаемым взломом, несмотря на то, что сотни учетных данных Spotify появились в Интернете ». Кевин Шахбази

Пострадавшие клиенты должны были активно обращаться к Spotify, чтобы восстановить доступ к своим аккаунтам. Согласно сообщениям в Твиттере и различным статьям в технологической прессе, это было нелегкой задачей. К сожалению, это не единичное событие для Spotify.

«Spotify отрицает существование подобных предполагаемых взломов, которые якобы имели место в ноябре 2015 года и снова в этом феврале. В целом, публичные заявления Spotify противоречат опыту их клиентов ». - Кевин Шахбази

Кевин не уверен, почему Spotify был настолько яростен и непонятен в отношении существования (или иным образом) хака или того, что он стал жертвой пользовательской ошибки. Однако он обеспокоен тем, что «отсутствие прозрачности наносит ущерб только их бренду, репутации и, прежде всего, их клиентам».

Что могут сделать пострадавшие пользователи?

Буквально сотни пользователей пострадали от утечки. Существует очень реальная возможность того, что больше учетных записей было взломано, но еще не было утечки. Я спросил Кевина, какие меры должны принять пользователи Spotify, чтобы защитить себя.

«Независимо от того, взломаны они или нет, все пользователи Spotify должны знать свои учетные записи. Для тех, чья информация была взломана, они должны немедленно изменить свою регистрационную информацию для любого учетные записи, которые использовали тот же пароль, а также контролировать любые финансовые счета, которые могут быть связаны с Spotify. Они также должны связаться со Spotify, чтобы сообщить им о проблеме с их учетной записью, а также сбросить ее ». - Кевин Шахбази

LeakedAccounts

Кевин добавил, что те, кому посчастливилось не быть включенным в дамп данных, также должны принять меры предосторожности. Он рекомендует всем пользователям сбросить свои пароли, и на всех устройствах, на которых установлен Spotify, пользователи выходят из системы, а затем снова входят в систему. Он также подчеркнул опасность использования дублирующих паролей.

«Это еще один случай, когда повторяющиеся пароли возвращаются, чтобы нанести вред тем, кто ищет простоту доступа к нескольким учетным записям. Хотя может показаться, что информация для входа в Spotify была взломана, а все остальные учетные записи в безопасности, если дублированный пароль был используется, он может быть использован для успешного входа в другие учетные записи, использующие эту информацию, создавая эффект домино ». Кевин Шахбази

Профилактика лучше лечения

Потребители не могут предотвратить утечку своих данных с помощью услуг, которые они используют, поскольку они не в их руках. У службы должны быть хорошие методы обеспечения безопасности и хорошая гигиена паролей. Но что могут сделать потребители, чтобы ограничить свое воздействие будущих утечек? Кевин еще раз подчеркнул, что пользователям следует избегать дублирования паролей и, где возможно, использовать двухфакторную аутентификацию.

«Еще один способ, которым читатели могут обеспечить надежную защиту своих паролей, - это использование двухфакторная аутентификация (2FA) Что такое двухфакторная аутентификация и почему ее следует использоватьДвухфакторная аутентификация (2FA) - это метод безопасности, который требует двух разных способов подтверждения вашей личности. Это обычно используется в повседневной жизни. Например, оплата кредитной картой не только требует карты, ... Подробнее где в дополнение к паролю пользователи должны предоставить другую информацию, такую ​​как отпечаток пальца, PIN-код или секретный вопрос, который смогут предоставить только они ». Кевин Шахбази

Неудивительно, что Кевин рекомендует использовать менеджер паролей для безопасного хранения сложных паролей. Он сказал "менеджер паролей Как менеджеры паролей хранят ваши пароли в безопасностиПароли, которые трудно взломать, также трудно запомнить. Хотите быть в безопасности? Вам нужен менеджер паролей. Вот как они работают и как они защищают вас. Подробнее это простой способ предотвратить разрушение хакерами вашей жизни. Эти пароли шифруются в безопасном «хранилище», к которому пользователь может получить доступ через один мастер-пароль ». Он добавил, что это облегчает использование безопасных, сложных паролей.

«Существует много бесплатных и надежных менеджеров паролей. Убедитесь, что вы используете авторитетный. Многие из них не просто хранят ваш пароль, поэтому ищите те, которые используют «инъекцию» для вставки паролей в правильные поля, а не просто копируют и вставляют из буфера обмена. Это поможет вам избежать атак с помощью клавиатурных шпионов ». - Кевин Шахбази

Завершение

Кевин, возможно, справедливо, обеспокоен мягким ответом Spotify на сотни их учетных записей пользователей, распыляемых на Pastebin. Является ли эта утечка одноразовой или свидетельствует о том, что что-то большее должно произойти, еще неизвестно.

Мы пытались связаться со Spotify для комментариев к этой истории, но не смогли этого сделать. Если мы получим ответ от компании, мы обновим эту статью ответом.

Кредиты изображений: Вдовиченко Денис / Shutterstock.com

Мэтью Хьюз - разработчик программного обеспечения и писатель из Ливерпуля, Англия. Его редко можно найти без чашки крепкого черного кофе в руке, и он абсолютно обожает свой Macbook Pro и свою камеру. Вы можете прочитать его блог на http://www.matthewhughes.co.uk и следуйте за ним в твиттере на @matthewhughes.