Reklaam
viimane Spotify leke võib olla kõige kummalisem veel. Pastebinis on sadu kontosid. Nendele kontodele on juba juurde pääsetud, paljudele on nende e-kirjad muutunud. Kuid mitte ainult et me ei tea, kes on lekke taga, Spotify on püsiv, seda pole häkkinud. Mis siis tõesti edasi minema?
Selle teadasaamiseks korraldasin vestluse Kevin Shahbazi, turbeeksperdi ja paroolide haldamise ettevõtte tegevjuhiga LogMeOnce. Kevin on turvatööstuses endale nime ehitanud. Ta on käivitanud mitu erinevat infosec-ettevõtet, millest üks - Trust Digital, mis on spetsialiseerunud ettevõtte tasemel nutitelefonide turvalisusele - oli omandatud McAfee poolt 2010. aastal.
Kevini kogemused turvalisuse valdkonnas on vaieldamatud ja tahtsin teada saada, mida ta sellest viimasest andmerikkumisest tegi. Teisipäeva õhtul saadetud e-kirjade pärast tulistasin talle, kes võib lekke taga olla, mis oli Spotify vastuses nii valesti ja mida mõjutatud kasutajad saavad enda kaitseks teha.
Lekke anatoomia
Kui Ashley Madison möllab
hüppas nagu üleküpsenud kantaluup Ashley Madison Leak Pole suurt tehingut? Mõtle uuestiDiskreetne onlain-kohtingute sait Ashley Madison (suunatud peamiselt abikaasade petmisele) on häkkinud. Kuid see on palju tõsisem teema, kui ajakirjanduses on kujutatud, millel on märkimisväärne mõju kasutaja turvalisusele. Loe rohkem , paljastas see pimedas veebis miljonite kirjuid saladusi. Gigabaitides mõõdetud andmete loetelu loetles kõike alates saidi registreerijate eluloolisest infost kuni nende niššide seksuaalsete eelistusteni. Kuidas Spotify leket võrreldakse?„Seoses andmete lekkimisega on vaid mainitud, et määratlemata sadadele kontodele on seatud ohtu. Konto teavet, nagu makse üksikasjad ja krediitkaarditeave, lekkesse ei lisatud, kuid meilid, kasutajanimed, paroolid, konto tüüp ja konto täiendavad üksikasjad olid. ” - Kevin Šahbazi
Selle kohta, kes rünnaku taga oli, pole endiselt teavet, ehkki kasutaja avaldas selle nimega „Drakia12'Kohta Pastebin. Kevin on avatud võimalusele, et prügila ise ei pruugi olla nii uus, vaid tuli hoopis kontodest, mis olid juba lekitatud tume veeb Teekond varjatud veebi: juhend uutele teadlasteleSee käsiraamat viib teid tuurile sügava veebi mitmel tasandil: andmebaasid ja teave, mis on kättesaadav akadeemilistes ajakirjades. Lõpuks jõuame Tori väravate juurde. Loe rohkem ja sisenevad nüüd laiemasse ringlusse. Sisselogimised Spotify ja muude voogesitussaitide (nt Netflix) jaoks on saadaval Internetis ja nende sõnul McAfee Labsi raport, edastavad küberkurjategijad neid sisselogimisi pidevalt, kui neile on seatud järeleandmine ”.
Samuti vihjas Kevin, et lekke taga võib olla "julma jõu" rünnak, öeldes: "Veel üks [lekke] võimalik allikas on mida kasutatakse paroolide kammimiseks või mitu erinevat paroolikombinatsiooni, kuni see leitakse õige üks ”.
See tundub ebatõenäoline, kuna enamik teenuseid piirab nüüd ebaõnnestunud sisselogimiskatsete arvu, mida kasutaja saab teha. See pole aga võimatu. 2009. aastal olid Rick Sanchez, Bill O’Reilly ja Britney Spears Twitteri kontod olid häkkerid ohtu seadnudja solvavaid sõnumeid postitati.
See rünnak oli võimalik ainult seetõttu, et omal ajal ei piiranud Twitter sisselogimiskatseid ja ühel administraatoril oli nõrk sõnastiku parool (see oli “Õnn”).
Tahtsin teada, kuidas see leke võrreldes teiste kõrgetasemeliste leketega, näiteks Ashley Madison, PlayStation Network ja Mate1 lekked. Kevin ütles, et erinevalt teistest märkimisväärsetest leketest ei oma Spotify seda. Nad ei võta vastutust. Ta lisas, et nad ei ole ka "oma kliendi teabe kaitsmisel ennetavad". Shahbazi muretseb ka selle pärast, et leke võib olla millegi palju suurema avamäng.
„Avaldades väikese andmevalimi, võisid väidetavad häkkerid tahta lihtsalt Spotify kaitsepositsioonile seada. Natukese aja möödudes pärast konto lüpsmist avaldavad nad tõenäoliselt ülejäänud andmeallika. Kui see on nende eesmärk, tuleb veelgi piinlikkust tunda ja juhid võivad kaotada oma koha Spotify's. ” - Kevin Shahbazi
Miks just Spotify?
Kõige hämmastavam on Spotify häkker selle kohta, et see on nii ebatõenäoline sihtmärk. Küberkurjategijale kahjustatud PayPali või Interneti-pangakonto Kas internetipangandus on turvaline? Enamasti, kuid siin on 5 riski, millest peaksite teadmaInternetipanganduses võib palju meeldida. See on mugav, võib teie elu lihtsustada, võite isegi saada paremaid säästumäärasid. Kuid kas Interneti-pangandus on sama turvaline ja turvaline, kui see peaks olema? Loe rohkem on vaieldamatu. Kuid Spotify pole finantseerimisasutus. See on muusika veebisait. Küsisin Kevinilt, miks häkker võib seda sihtida.
„Spotify või muude sarnaste teenuste ründamise väärtus erineb häkkeritest häkkeriteni. Sel juhul näib hiljutise lekke kõige tõenäolisem motiiv olla läbipaistvus, et näidata avalikkusele, et nende oma teave ei ole platvormiga tingimata turvaline ja põhjustab lõppkokkuvõttes kaubamärgile piinlikkust. " - Kevin Šahbazi
Paljud inimesed valivad oma Facebooki kontode linkimise Spotifyga. See lihtsustab sisselogimist ja lisab teenusele ka sotsiaalse mõõtme. Kasutajad saavad jagada oma lemmik lugusid oma sõpradega ja saada soovitusi.
Kas see võib mõjutatud kasutajatele täiendavat valu põhjustada? Potentsiaalselt ütles Kevin. Eriti kui kasutaja kasutab duplikaatparooli.
„Võimalik probleem võib olla dubleeritud paroolid (või ühe parooli korduvkasutamine erinevates teenustes). Kuna igaüks pääseb nüüd sadadele Spotify sisselogimistele, annab see neile võtme muudele kontodele ja teenustele, mis kasutavad lekkinud parooli) ". - Kevin Shahbazi
Spotify vastus
Arvestades Spotify kõrget profiili, oli paratamatu, et ettevõttel tekib lõpuks mingisugune turvaprobleem. Kuid sel juhul on kõige suhtes olnud üllatavalt ebameeldiv.
„Ehkki [minevikus] on nad ennetavalt hakanud hävitatud kontode kasutajate paroole lähtestama, on nad öelnud, et skannivad sageli saite nagu Pastebin Spotify mandaatide jaoks, nad pole seda teinud viimase väidetava häkkimisega, vaatamata sellele, et veebis kuvatakse sadu Spotify mandaate. ” - Kevin Šahbazi
Mõjutatud kliendid on pidanud oma kontodele juurdepääsu taastamiseks Spotifyga aktiivselt ühendust võtma. Twitteris tehtud postituste ja mitmesuguste tehnoloogiaajakirjanduses ilmunud artiklite kohaselt pole see olnud kerge ülesanne. Kahjuks pole see Spotify jaoks üksikjuhtum.
„Spotify on eitanud sarnaste väidetavate häkkimiste olemasolu, mis väidetavalt toimusid 2015. aasta novembris ja jälle sellest veebruarist möödunud. Üldiselt on Spotify avalikud avaldused nende klientide kogemustega vastuolus. ” - Kevin Shahbazi
Kevin pole kindel, miks Spotify on häkkimise olemasolu (või muul moel) suhtes nii tuliselt läbipaistmatu või kas see on olnud kasutajavea ohver. Siiski muretseb ta, et "nende vähene läbipaistvus kahjustab ainult nende kaubamärki, mainet ja ennekõike kliente".
Mida saavad mõjutatud kasutajad teha?
Lekk on sõna otseses mõttes sadu kasutajaid mõjutanud. On väga reaalne võimalus, et rohkem kontosid on ohustatud, kuid neid pole veel lekitatud. Küsisin Kevinilt, milliseid meetmeid peaksid Spotify kasutajad enda kaitseks võtma.
„Olenemata sellest, kas häkkida või mitte, peaksid kõik Spotify kasutajad oma kontoga kursis olema. Neile, kelle teave on rikutud, peaksid nad viivitamatult muutma oma sisselogimisandmeid kontosid, mis kasutasid sama parooli, samuti jälgib kõiki lingitud finantskontosid Spotify. Samuti peavad nad võtma ühendust Spotifyga, et nad saaksid oma kontoga seotud probleemist teada anda ja selle lähtestada. ” - Kevin Shahbazi
Kevin lisas, et ettevaatusabinõusid peaksid rakendama ka need, kellel oli õnne, et neid andmete prügilasse ei kaasatud. Ta soovitab kõigil kasutajatel paroolid lähtestada ning kõigis seadmetes, kuhu Spotify on installitud, logivad kasutajad välja ja logivad siis uuesti sisse. Ta rõhutas ka dubleeritud salasõnadele tuginemise ohtusid.
„See on veel üks juhtum, kus dubleeritud paroolid tulevad tagasi, et kahjustada neid, kes otsivad juurdepääsu mitmele kontole. Ehkki võib lihtsalt tunduda, et Spotify sisselogimisteavet häkkiti ja kõik muud kontod on turvalised, kui duplikaadi parool oli seda saab kasutada teiste kontode edukaks sisselogimiseks, kasutades seda teavet, luues doominoefekti. ” - Kevin Šahbazi
Ennetamine on parem kui ravi
Tarbijatel on võimatu takistada nende poolt kasutatava teenuse lekitamist, kuna see pole nende käes. Teenusel peavad olema head turvalisuse tavad ja hea paroolihügieen. Kuid mida saavad tarbijad teha selleks, et piirata tulevaste lekete ohtu? Kevin rõhutas veel kord, et kasutajad peaksid vältima paroolide dubleerimist ja võimaluse korral kasutama kahefaktorilist autentimist.
„Teine viis, kuidas lugejad saavad paroolide turvalisuse tugevaks tagada, on kasutamine kahefaktoriline autentimine (2FA) Mis on kahefaktoriline autentimine ja miks peaksite seda kasutamaKahefaktoriline autentimine (2FA) on turvameetod, mis nõuab teie identiteedi tõestamiseks kahte erinevat viisi. Seda kasutatakse tavaliselt igapäevaelus. Näiteks krediitkaardiga maksmine ei nõua mitte ainult kaarti, ... Loe rohkem , kus lisaks paroolile peavad kasutajad esitama muu teabe, nt sõrmejälje, PIN-koodi või turvaküsimusega, mida ainult nemad saaksid pakkuda. ” - Kevin Šahbazi
Pole üllatav, et Kevin soovitab keerukate paroolide turvaliseks hoidmiseks kasutada paroolide haldurit. Ta ütles "paroolide haldur Kuidas paroolide haldurid teie paroole turvaliselt hoiavad?Paroole, mida on raske rikkuda, on samuti raske meelde jätta. Kas soovite olla ohutu? Teil on vaja paroolide haldurit. Siit saate teada, kuidas nad töötavad ja kuidas nad teid turvaliselt hoiavad. Loe rohkem on lihtne viis takistada häkkereid teie elu hävitamast. Need krüptitud paroolid on turvalises võlvis, millele kasutaja pääseb juurde ühe põhiparooli kaudu. ” Ta lisas, et need muudavad turvaliste ja keerukate paroolide kasutamise lihtsamaks.
„Seal on palju tasuta, usaldusväärseid paroolide haldureid. Veenduge, et kasutate lugupeetud. Paljud neist teevad midagi enamat kui lihtsalt oma parooli salvestamise, nii et otsige neid, mis kasutavad paroolide sisestamiseks õigetele väljadele sisestamise asemel süstimist, mitte lihtsalt lõikepuhvrist kopeerimist ja kleepimist. See aitab teil vältida rünnakuid keyloggerite kaudu. ” - Kevin Shahbazi
Mähkimine üles
Kevinit, võib-olla õigesti, häirib Spotify leebe reageerimine sadadele nende kasutajakontodele Pastebini pihustamise teel. Kas see leke on ühekordne või näitab see, et tegemist on millegi suuremaga, jääb üle vaadata.
Proovisime Spotifyga selle loo kommenteerimiseks ühendust võtta, kuid ei saanud seda teha. Kui kuuleme ettevõttelt tagasi, värskendame seda artiklit koos selle vastusega.
Pildikrediidid: Vdovichenko Denis / Shutterstock.com
Matthew Hughes on tarkvaraarendaja ja kirjanik Liverpoolist Inglismaalt. Teda leitakse harva, kui tal pole tassi kanget musta kohvi ja ta jumaldab absoluutselt oma MacBook Pro ja oma kaamerat. Tema blogi saate lugeda aadressil http://www.matthewhughes.co.uk ja jälgi teda twitteris aadressil @matthewhughes.