Reklaam

viimane Spotify leke võib olla kõige kummalisem veel. Pastebinis on sadu kontosid. Nendele kontodele on juba juurde pääsetud, paljudele on nende e-kirjad muutunud. Kuid mitte ainult et me ei tea, kes on lekke taga, Spotify on püsiv, seda pole häkkinud. Mis siis tõesti edasi minema?

Selle teadasaamiseks korraldasin vestluse Kevin Shahbazi, turbeeksperdi ja paroolide haldamise ettevõtte tegevjuhiga LogMeOnce. Kevin on turvatööstuses endale nime ehitanud. Ta on käivitanud mitu erinevat infosec-ettevõtet, millest üks - Trust Digital, mis on spetsialiseerunud ettevõtte tasemel nutitelefonide turvalisusele - oli omandatud McAfee poolt 2010. aastal.

Kevini kogemused turvalisuse valdkonnas on vaieldamatud ja tahtsin teada saada, mida ta sellest viimasest andmerikkumisest tegi. Teisipäeva õhtul saadetud e-kirjade pärast tulistasin talle, kes võib lekke taga olla, mis oli Spotify vastuses nii valesti ja mida mõjutatud kasutajad saavad enda kaitseks teha.

Lekke anatoomia

Kui Ashley Madison möllab

instagram viewer
hüppas nagu üleküpsenud kantaluup Ashley Madison Leak Pole suurt tehingut? Mõtle uuestiDiskreetne onlain-kohtingute sait Ashley Madison (suunatud peamiselt abikaasade petmisele) on häkkinud. Kuid see on palju tõsisem teema, kui ajakirjanduses on kujutatud, millel on märkimisväärne mõju kasutaja turvalisusele. Loe rohkem , paljastas see pimedas veebis miljonite kirjuid saladusi. Gigabaitides mõõdetud andmete loetelu loetles kõike alates saidi registreerijate eluloolisest infost kuni nende niššide seksuaalsete eelistusteni. Kuidas Spotify leket võrreldakse?

„Seoses andmete lekkimisega on vaid mainitud, et määratlemata sadadele kontodele on seatud ohtu. Konto teavet, nagu makse üksikasjad ja krediitkaarditeave, lekkesse ei lisatud, kuid meilid, kasutajanimed, paroolid, konto tüüp ja konto täiendavad üksikasjad olid. ” - Kevin Šahbazi

Selle kohta, kes rünnaku taga oli, pole endiselt teavet, ehkki kasutaja avaldas selle nimega „Drakia12'Kohta Pastebin. Kevin on avatud võimalusele, et prügila ise ei pruugi olla nii uus, vaid tuli hoopis kontodest, mis olid juba lekitatud tume veeb Teekond varjatud veebi: juhend uutele teadlasteleSee käsiraamat viib teid tuurile sügava veebi mitmel tasandil: andmebaasid ja teave, mis on kättesaadav akadeemilistes ajakirjades. Lõpuks jõuame Tori väravate juurde. Loe rohkem ja sisenevad nüüd laiemasse ringlusse. Sisselogimised Spotify ja muude voogesitussaitide (nt Netflix) jaoks on saadaval Internetis ja nende sõnul McAfee Labsi raport, edastavad küberkurjategijad neid sisselogimisi pidevalt, kui neile on seatud järeleandmine ”.

Samuti vihjas Kevin, et lekke taga võib olla "julma jõu" rünnak, öeldes: "Veel üks [lekke] võimalik allikas on mida kasutatakse paroolide kammimiseks või mitu erinevat paroolikombinatsiooni, kuni see leitakse õige üks ”.

See tundub ebatõenäoline, kuna enamik teenuseid piirab nüüd ebaõnnestunud sisselogimiskatsete arvu, mida kasutaja saab teha. See pole aga võimatu. 2009. aastal olid Rick Sanchez, Bill O’Reilly ja Britney Spears Twitteri kontod olid häkkerid ohtu seadnudja solvavaid sõnumeid postitati.

sancheztwitter

See rünnak oli võimalik ainult seetõttu, et omal ajal ei piiranud Twitter sisselogimiskatseid ja ühel administraatoril oli nõrk sõnastiku parool (see oli “Õnn”).

Tahtsin teada, kuidas see leke võrreldes teiste kõrgetasemeliste leketega, näiteks Ashley Madison, PlayStation Network ja Mate1 lekked. Kevin ütles, et erinevalt teistest märkimisväärsetest leketest ei oma Spotify seda. Nad ei võta vastutust. Ta lisas, et nad ei ole ka "oma kliendi teabe kaitsmisel ennetavad". Shahbazi muretseb ka selle pärast, et leke võib olla millegi palju suurema avamäng.

„Avaldades väikese andmevalimi, võisid väidetavad häkkerid tahta lihtsalt Spotify kaitsepositsioonile seada. Natukese aja möödudes pärast konto lüpsmist avaldavad nad tõenäoliselt ülejäänud andmeallika. Kui see on nende eesmärk, tuleb veelgi piinlikkust tunda ja juhid võivad kaotada oma koha Spotify's. ” - Kevin Shahbazi

Miks just Spotify?

Kõige hämmastavam on Spotify häkker selle kohta, et see on nii ebatõenäoline sihtmärk. Küberkurjategijale kahjustatud PayPali või Interneti-pangakonto Kas internetipangandus on turvaline? Enamasti, kuid siin on 5 riski, millest peaksite teadmaInternetipanganduses võib palju meeldida. See on mugav, võib teie elu lihtsustada, võite isegi saada paremaid säästumäärasid. Kuid kas Interneti-pangandus on sama turvaline ja turvaline, kui see peaks olema? Loe rohkem on vaieldamatu. Kuid Spotify pole finantseerimisasutus. See on muusika veebisait. Küsisin Kevinilt, miks häkker võib seda sihtida.

„Spotify või muude sarnaste teenuste ründamise väärtus erineb häkkeritest häkkeriteni. Sel juhul näib hiljutise lekke kõige tõenäolisem motiiv olla läbipaistvus, et näidata avalikkusele, et nende oma teave ei ole platvormiga tingimata turvaline ja põhjustab lõppkokkuvõttes kaubamärgile piinlikkust. " - Kevin Šahbazi

Paljud inimesed valivad oma Facebooki kontode linkimise Spotifyga. See lihtsustab sisselogimist ja lisab teenusele ka sotsiaalse mõõtme. Kasutajad saavad jagada oma lemmik lugusid oma sõpradega ja saada soovitusi.

Profiil

Kas see võib mõjutatud kasutajatele täiendavat valu põhjustada? Potentsiaalselt ütles Kevin. Eriti kui kasutaja kasutab duplikaatparooli.

„Võimalik probleem võib olla dubleeritud paroolid (või ühe parooli korduvkasutamine erinevates teenustes). Kuna igaüks pääseb nüüd sadadele Spotify sisselogimistele, annab see neile võtme muudele kontodele ja teenustele, mis kasutavad lekkinud parooli) ". - Kevin Shahbazi

Spotify vastus

Arvestades Spotify kõrget profiili, oli paratamatu, et ettevõttel tekib lõpuks mingisugune turvaprobleem. Kuid sel juhul on kõige suhtes olnud üllatavalt ebameeldiv.

„Ehkki [minevikus] on nad ennetavalt hakanud hävitatud kontode kasutajate paroole lähtestama, on nad öelnud, et skannivad sageli saite nagu Pastebin Spotify mandaatide jaoks, nad pole seda teinud viimase väidetava häkkimisega, vaatamata sellele, et veebis kuvatakse sadu Spotify mandaate. ” - Kevin Šahbazi

Mõjutatud kliendid on pidanud oma kontodele juurdepääsu taastamiseks Spotifyga aktiivselt ühendust võtma. Twitteris tehtud postituste ja mitmesuguste tehnoloogiaajakirjanduses ilmunud artiklite kohaselt pole see olnud kerge ülesanne. Kahjuks pole see Spotify jaoks üksikjuhtum.

„Spotify on eitanud sarnaste väidetavate häkkimiste olemasolu, mis väidetavalt toimusid 2015. aasta novembris ja jälle sellest veebruarist möödunud. Üldiselt on Spotify avalikud avaldused nende klientide kogemustega vastuolus. ” - Kevin Shahbazi

Kevin pole kindel, miks Spotify on häkkimise olemasolu (või muul moel) suhtes nii tuliselt läbipaistmatu või kas see on olnud kasutajavea ohver. Siiski muretseb ta, et "nende vähene läbipaistvus kahjustab ainult nende kaubamärki, mainet ja ennekõike kliente".

Mida saavad mõjutatud kasutajad teha?

Lekk on sõna otseses mõttes sadu kasutajaid mõjutanud. On väga reaalne võimalus, et rohkem kontosid on ohustatud, kuid neid pole veel lekitatud. Küsisin Kevinilt, milliseid meetmeid peaksid Spotify kasutajad enda kaitseks võtma.

„Olenemata sellest, kas häkkida või mitte, peaksid kõik Spotify kasutajad oma kontoga kursis olema. Neile, kelle teave on rikutud, peaksid nad viivitamatult muutma oma sisselogimisandmeid kontosid, mis kasutasid sama parooli, samuti jälgib kõiki lingitud finantskontosid Spotify. Samuti peavad nad võtma ühendust Spotifyga, et nad saaksid oma kontoga seotud probleemist teada anda ja selle lähtestada. ” - Kevin Shahbazi

Lekkinud kontod

Kevin lisas, et ettevaatusabinõusid peaksid rakendama ka need, kellel oli õnne, et neid andmete prügilasse ei kaasatud. Ta soovitab kõigil kasutajatel paroolid lähtestada ning kõigis seadmetes, kuhu Spotify on installitud, logivad kasutajad välja ja logivad siis uuesti sisse. Ta rõhutas ka dubleeritud salasõnadele tuginemise ohtusid.

„See on veel üks juhtum, kus dubleeritud paroolid tulevad tagasi, et kahjustada neid, kes otsivad juurdepääsu mitmele kontole. Ehkki võib lihtsalt tunduda, et Spotify sisselogimisteavet häkkiti ja kõik muud kontod on turvalised, kui duplikaadi parool oli seda saab kasutada teiste kontode edukaks sisselogimiseks, kasutades seda teavet, luues doominoefekti. ” - Kevin Šahbazi

Ennetamine on parem kui ravi

Tarbijatel on võimatu takistada nende poolt kasutatava teenuse lekitamist, kuna see pole nende käes. Teenusel peavad olema head turvalisuse tavad ja hea paroolihügieen. Kuid mida saavad tarbijad teha selleks, et piirata tulevaste lekete ohtu? Kevin rõhutas veel kord, et kasutajad peaksid vältima paroolide dubleerimist ja võimaluse korral kasutama kahefaktorilist autentimist.

„Teine viis, kuidas lugejad saavad paroolide turvalisuse tugevaks tagada, on kasutamine kahefaktoriline autentimine (2FA) Mis on kahefaktoriline autentimine ja miks peaksite seda kasutamaKahefaktoriline autentimine (2FA) on turvameetod, mis nõuab teie identiteedi tõestamiseks kahte erinevat viisi. Seda kasutatakse tavaliselt igapäevaelus. Näiteks krediitkaardiga maksmine ei nõua mitte ainult kaarti, ... Loe rohkem , kus lisaks paroolile peavad kasutajad esitama muu teabe, nt sõrmejälje, PIN-koodi või turvaküsimusega, mida ainult nemad saaksid pakkuda. ” - Kevin Šahbazi

Pole üllatav, et Kevin soovitab keerukate paroolide turvaliseks hoidmiseks kasutada paroolide haldurit. Ta ütles "paroolide haldur Kuidas paroolide haldurid teie paroole turvaliselt hoiavad?Paroole, mida on raske rikkuda, on samuti raske meelde jätta. Kas soovite olla ohutu? Teil on vaja paroolide haldurit. Siit saate teada, kuidas nad töötavad ja kuidas nad teid turvaliselt hoiavad. Loe rohkem on lihtne viis takistada häkkereid teie elu hävitamast. Need krüptitud paroolid on turvalises võlvis, millele kasutaja pääseb juurde ühe põhiparooli kaudu. ” Ta lisas, et need muudavad turvaliste ja keerukate paroolide kasutamise lihtsamaks.

„Seal on palju tasuta, usaldusväärseid paroolide haldureid. Veenduge, et kasutate lugupeetud. Paljud neist teevad midagi enamat kui lihtsalt oma parooli salvestamise, nii et otsige neid, mis kasutavad paroolide sisestamiseks õigetele väljadele sisestamise asemel süstimist, mitte lihtsalt lõikepuhvrist kopeerimist ja kleepimist. See aitab teil vältida rünnakuid keyloggerite kaudu. ” - Kevin Shahbazi

Mähkimine üles

Kevinit, võib-olla õigesti, häirib Spotify leebe reageerimine sadadele nende kasutajakontodele Pastebini pihustamise teel. Kas see leke on ühekordne või näitab see, et tegemist on millegi suuremaga, jääb üle vaadata.

Proovisime Spotifyga selle loo kommenteerimiseks ühendust võtta, kuid ei saanud seda teha. Kui kuuleme ettevõttelt tagasi, värskendame seda artiklit koos selle vastusega.

Pildikrediidid: Vdovichenko Denis / Shutterstock.com

Matthew Hughes on tarkvaraarendaja ja kirjanik Liverpoolist Inglismaalt. Teda leitakse harva, kui tal pole tassi kanget musta kohvi ja ta jumaldab absoluutselt oma MacBook Pro ja oma kaamerat. Tema blogi saate lugeda aadressil http://www.matthewhughes.co.uk ja jälgi teda twitteris aadressil @matthewhughes.