Η τελευταία διαρροή του Spotify μπορεί να είναι η πιο περίεργη. Εκατοντάδες λογαριασμοί έχουν πιτσιλιστεί στο Pastebin. Αυτοί οι λογαριασμοί έχουν ήδη πρόσβαση, πολλοί από τους οποίους είχαν αλλάξει τα μηνύματά τους. Αλλά όχι μόνο δεν ξέρουμε ποιος είναι πίσω από τη διαρροή, Spotify είναι ανένδοτος ότι δεν έχει πειραχτεί. Λοιπόν, τι συμβαίνει πραγματικά ;
Για να μάθετε, διοργανώσαμε μια συνομιλία με τον Kevin Shahbazi, εμπειρογνώμονα ασφάλειας και διευθύνοντα σύμβουλο της επιχείρησης διαχείρισης κωδικών πρόσβασης LogMeOnce. Ο Κέβιν έχει κατασκευάσει ένα όνομα στον τομέα της ασφάλειας. Έχει ξεκινήσει αρκετές εταιρίες infosec, από τις οποίες η One - Trust Digital, που ειδικεύεται στην ασφάλεια smartphone σε επίπεδο επιχείρησης - αποκτήθηκε από την McAfee το 2010.
Η τεχνογνωσία του Kevin στον τομέα της ασφάλειας είναι αναμφισβήτητη και θέλησα να μάθω τι έκανε από αυτήν την τελευταία παραβίαση δεδομένων. Πάνω από μια αναταραχή των μηνυμάτων ηλεκτρονικού ταχυδρομείου που στάλθηκαν την Τρίτη το βράδυ, τον έκανα σε σχόλιο ποιος θα μπορούσε να είναι πίσω από τη διαρροή, τι ήταν τόσο λάθος με την απάντηση του Spotify και τι επηρεάζονται οι χρήστες μπορούν να κάνουν για να προστατεύσουν τον εαυτό τους.
Η ανατομία της διαρροής
Όταν η καταστροφή του Ashley Madison έσπασε σαν ένα υπερυψωμένο πεπόνι Ashley Madison Leak No Big Deal; Σκεφτείτε πάλι Ashley Madison Διαρροή Δεν Big Deal; Σκεφτείτε ξανά Discreet σε απευθείας σύνδεση χρονολογώντας περιοχή Ashley Madison (που στοχεύει κυρίως σε εξαπάτηση συζύγους) έχει πειραχτεί. Ωστόσο, αυτό είναι ένα πολύ πιο σοβαρό ζήτημα από ό, τι παρουσιάστηκε στον Τύπο, με σημαντικές επιπτώσεις στην ασφάλεια των χρηστών. Διαβάστε περισσότερα, εξέθεσε τα μυστικά μυστικά εκατομμυρίων στο σκοτεινό ιστό. Η χωματερή δεδομένων, η οποία μετρήθηκε στα gigabytes, απαρίθμησε τα πάντα από τις βιογραφικές πληροφορίες των καταχωριζόντων του ιστότοπου, ακόμα και στις εξειδικευμένες σεξουαλικές τους προτιμήσεις. Πώς συγκρίνεται η διαρροή Spotify;
"Όσον αφορά τα δεδομένα που διαφυλάχτηκαν, έχει αναφερθεί μόνο ότι έχουν απειληθεί απροσδιόριστα« εκατοντάδες »λογαριασμών. Οι πληροφορίες λογαριασμού, όπως λεπτομέρειες πληρωμής και πληροφορίες πιστωτικής κάρτας, δεν συμπεριλήφθηκαν στη διαρροή, αλλά τα μηνύματα ηλεκτρονικού ταχυδρομείου, τα ονόματα χρηστών, οι κωδικοί πρόσβασης, ο τύπος λογαριασμού και τα πρόσθετα στοιχεία λογαριασμού ήταν "- Kevin Shahbazi
Δεν υπάρχουν ακόμη πληροφορίες για το ποιος ήταν πίσω από την επίθεση, αν και δημοσιεύθηκε από ένα χρήστη με το όνομα " Drakia12 " στο Pastebin. Ο Κέβιν είναι ανοιχτός στο ενδεχόμενο ότι το ίδιο το χωματόδρομο ίσως να μην είναι το νέο και αντ 'αυτού προήλθε από λογαριασμούς που είχαν ήδη διαρρεύσει στο Dark Web Journey Into The Hidden Web: Ένας οδηγός για νέους ερευνητές Ταξίδι στο κρυμμένο Web: Ένας οδηγός Για νέους ερευνητές Αυτό το εγχειρίδιο θα σας οδηγήσει σε μια περιήγηση στα πολλά επίπεδα του βαθιού ιστού: βάσεις δεδομένων και πληροφορίες που υπάρχουν σε ακαδημαϊκά περιοδικά. Τέλος, φτάνουμε στις πύλες του Tor. Διαβάστε περισσότερα και εισέρχονται τώρα σε μια ευρύτερη κυκλοφορία. Οι συνδέσεις για το Spotify και άλλες τοποθεσίες συνεχούς ροής όπως το Netflix είναι διαθέσιμες για την αγορά στα θορυβώδη μέρη του Διαδικτύου και σύμφωνα με μια αναφορά McAfee Labs, αυτές οι συνδέσεις κυκλοφορούν διαρκώς από εγκληματίες του κυβερνοχώρου όταν έχουν υποστεί βλάβη ».
Ο Kevin επίσης υπαινίχθηκε ότι μια επίθεση "βίαιης δύναμης" μπορεί να είναι πίσω από τη διαρροή, λέγοντας, "Μια άλλη πιθανή πηγή [διαρροής] είναι ένα πρόγραμμα που χρησιμοποιείται για να« χτενίζει »μέσω κωδικών πρόσβασης ή απλώς να επιχειρεί πολλαπλούς συνδυασμούς κωδικών πρόσβασης μέχρι να βρει το σωστό ένας".
Αυτό φαίνεται απίθανο, δεδομένου ότι οι περισσότερες υπηρεσίες περιορίζουν τώρα την ποσότητα αποτυχημένων προσπαθειών σύνδεσης που μπορεί να κάνει ένας χρήστης. Ωστόσο, δεν είναι αδύνατο. Το 2009, οι λογαριασμοί Twitter του Rick Sanchez, του Bill O'Reilly και της Britney Spears διακυβεύονταν από τους χάκερ και δημοσιεύτηκαν προσβλητικά μηνύματα.
Αυτή η επίθεση ήταν δυνατή μόνο επειδή, κατά το χρονικό διάστημα, το Twitter δεν περιορίζει τις προσπάθειες σύνδεσης, και ένας διαχειριστής είχε έναν αδύναμο κωδικό πρόσβασης λεξικού (ήταν "ευτυχία" ).
Ήθελα να μάθω πώς αυτή η διαρροή σε σύγκριση με άλλες διαρροές υψηλού προφίλ, όπως οι διαρροές Ashley Madison, PlayStation Network και Mate1. Ο Kevin είπε ότι σε αντίθεση με άλλες σημαντικές διαρροές, ο Spotify δεν το "κατέχει". Δεν αναλαμβάνουν ευθύνη. Ούτε, πρόσθεσε, «προτίθενται να προστατεύσουν τις πληροφορίες των πελατών τους». Ο Σαχμπάζι επίσης ανησυχεί ότι η διαρροή μπορεί να είναι η προπώληση κάτι πολύ μεγαλύτερο.
"Με τη δημοσίευση ενός μικρού δείγματος δεδομένων οι υποτιθέμενοι χάκερ ίσως απλά ήθελαν να βάλουν το Spotify σε αμυντική θέση. Στη συνέχεια, μετά από σύντομο χρονικό διάστημα, μετά τη γέννηση του λογαριασμού, πιθανότατα θα δημοσιεύσουν το υπόλοιπο χωματερή. Αν αυτό είναι ο στόχος τους, τότε θα υπάρξει περισσότερη αμηχανία και τα στελέχη θα καταλήξουν να χάσουν τις θέσεις τους στο Spotify. "- Kevin Shahbazi
Γιατί Spotify;
Ίσως αυτό που είναι πιο αινιγματικό για το Spotify hack είναι ότι είναι ένας τέτοιος απίθανος στόχος. Σε έναν εγκληματία στον κυβερνοχώρο, η γοητεία ενός συμβιβασμού λογαριασμού PayPal ή ηλεκτρονικής τραπεζικής είναι ασφαλής στο διαδίκτυο; Κυρίως, αλλά εδώ είναι 5 κίνδυνοι που πρέπει να γνωρίζετε για την ασφάλεια των τραπεζών μέσω Διαδικτύου; Κυρίως, αλλά εδώ είναι 5 κίνδυνοι που πρέπει να ξέρετε για να υπάρχουν πολλά να αρέσει για την online τραπεζική. Είναι βολικό, μπορεί να απλοποιήσει τη ζωή σας, ίσως έχετε ακόμη καλύτερα ποσοστά αποταμίευσης. Αλλά η online τραπεζική είναι τόσο ασφαλής όσο και ασφαλής; Διαβάστε περισσότερα είναι αναμφισβήτητο. Αλλά το Spotify δεν είναι χρηματοπιστωτικό ίδρυμα. Είναι μια ιστοσελίδα μουσικής. Ρώτησα τον Kevin γιατί ένας χάκερ θα μπορούσε να στοχεύσει σε αυτόν.
"Η αξία στην επίθεση του Spotify, ή άλλων παρόμοιων υπηρεσιών, ποικίλλει από τον hacker στον hacker. Στην περίπτωση αυτή, η διαφάνεια φαίνεται να είναι το πιο πιθανό κίνητρο πίσω από την πρόσφατη διαρροή, να δείξουμε στο κοινό ότι οι πληροφορίες τους δεν είναι αναγκαστικά ασφαλείς με την πλατφόρμα και τελικά προκαλούν αμηχανία στο εμπορικό σήμα. "- Kevin Shahbazi
Πολλοί άνθρωποι επιλέγουν να συνδέσουν τους λογαριασμούς τους στο Facebook με το Spotify. Αυτό απλοποιεί τη σύνδεση και επίσης προσθέτει μια κοινωνική διάσταση στην υπηρεσία. Οι χρήστες μπορούν να μοιράζονται τα αγαπημένα τους κομμάτια με τους φίλους τους και να λαμβάνουν συστάσεις.
Αυτό θα μπορούσε να οδηγήσει σε περαιτέρω πόνο για τους επηρεαζόμενους χρήστες; Ενδεχομένως, είπε ο Kevin. Ειδικά αν ο χρήστης χρησιμοποιεί διπλό κωδικό πρόσβασης.
"Οι διπλοί κωδικοί πρόσβασης (ή η επαναχρησιμοποίηση ενός μόνο κωδικού πρόσβασης σε διάφορες υπηρεσίες) θα μπορούσαν να αποτελέσουν πιθανό πρόβλημα. Δεδομένου ότι ο καθένας μπορεί τώρα να αποκτήσει πρόσβαση σε εκατοντάδες συνδέσεις του Spotify, αυτό τους δίνει το κλειδί για κάθε άλλο λογαριασμό και υπηρεσία που χρησιμοποιεί τον διαρρήκτη κωδικό πρόσβασης). "- Kevin Shahbazi
Η απόκριση του Spotify
Δεδομένου του υψηλού προφίλ της Spotify, ήταν αναπόφευκτο ότι η εταιρεία θα βιώσει τελικά κάποιο είδος ασφάλειας. Αλλά σε αυτή την περίπτωση, ήταν εκπληκτικά ανυποψίαστο για όλα.
"Ενώ [στο παρελθόν] έχουν ενεργήσει για την επαναφορά των κωδικών πρόσβασης των χρηστών για λογαριασμούς που φαίνεται να έχουν καταστραφεί και έχουν πει ότι συχνά σαρώνουν ιστότοπους όπως τα διαπιστευτήρια του Pastebin για Spotify, δεν το έκαναν με την πιο πρόσφατη εικασία, εκατοντάδες διαπιστευτήρια Spotify εμφανίζονται ηλεκτρονικά "- Kevin Shahbazi
Οι ενδιαφερόμενοι πελάτες χρειάστηκε να επικοινωνήσουν ενεργά με το Spotify για να ανακτήσουν την πρόσβαση στους λογαριασμούς τους. Σύμφωνα με δημοσιεύσεις στο Twitter και διάφορα άρθρα στον Τύπο τεχνολογίας, αυτό δεν ήταν εύκολο έργο. Δυστυχώς, αυτό δεν είναι ένα μεμονωμένο γεγονός για το Spotify.
"Η Spotify αρνήθηκε την ύπαρξη παρόμοιων φερόμενων αμυχών που υποτίθεται ότι έλαβαν χώρα τον Νοέμβριο του 2015 και πάλι τον περασμένο Φεβρουάριο. Συνολικά, οι δηλώσεις του Spotify αντιβαίνουν στις εμπειρίες των πελατών τους. "- Kevin Shahbazi
Ο Kevin δεν είναι σίγουρος για ποιο λόγο ο Spotify ήταν τόσο αυστηρά αδιαφανής για την ύπαρξη (ή αλλιώς) ενός hack, ή αν ήταν θύμα σφάλματος χρήστη. Ωστόσο, ανησυχεί ότι "η έλλειψη διαφάνειας τους πλήττει μόνο το εμπορικό σήμα, τη φήμη τους και κυρίως τους πελάτες τους".
Τι μπορούν να επηρεάσουν οι χρήστες;
Κυριολεκτικά εκατοντάδες χρήστες έχουν επηρεαστεί από τη διαρροή. Υπάρχει μια πολύ πραγματική πιθανότητα ότι περισσότεροι λογαριασμοί έχουν συμβιβαστεί, αλλά απλά δεν έχουν διαρρεύσει ακόμα. Ζήτησα από τον Kevin τα μέτρα που θα πρέπει να λάβουν οι χρήστες του Spotify για να προστατευθούν.
"Είτε hacked είτε όχι, όλοι οι χρήστες του Spotify θα πρέπει να γνωρίζουν τους λογαριασμούς τους. Για όσους έχουν παραβιαστεί πληροφορίες, θα πρέπει να αλλάξουν αμέσως τις πληροφορίες σύνδεσης τους για λογαριασμούς που χρησιμοποιούν τον ίδιο κωδικό πρόσβασης, καθώς και να παρακολουθούν τους οικονομικούς λογαριασμούς που μπορεί να συνδέονται με το Spotify. Πρέπει επίσης να επικοινωνήσουν με το Spotify για να τους ενημερώσουν για το θέμα με το λογαριασμό τους καθώς και για να το επαναφέρουν. "- Kevin Shahbazi
Ο Κέβιν πρόσθεσε ότι εκείνοι που είχαν την τύχη να μην συμπεριληφθούν στην χωματερή δεδομένων θα πρέπει επίσης να λάβουν προφυλάξεις. Συνιστά να επαναφέρονται όλοι οι κωδικοί πρόσβασης σε όλους τους χρήστες και σε όλες τις συσκευές όπου έχει εγκατασταθεί το Spotify, οι χρήστες αποσυνδέονται και, στη συνέχεια, συνδέονται ξανά. Τόνισε επίσης τους κινδύνους που βασίζονται σε διπλούς κωδικούς πρόσβασης.
"Αυτή είναι μια ακόμη περίπτωση στην οποία οι διπλοί κωδικοί πρόσβασης επανέρχονται για να βλάψουν όσους αναζητούν εύκολη πρόσβαση σε πολλούς λογαριασμούς. Παρόλο που μπορεί να φαίνεται πως οι πληροφορίες σύνδεσης του Spotify έχουν καταστραφεί και όλοι οι άλλοι λογαριασμοί είναι ασφαλείς, εάν χρησιμοποιήθηκε ένας διπλός κωδικός πρόσβασης, θα μπορούσε να χρησιμοποιηθεί για να συνδεθεί επιτυχώς σε άλλους λογαριασμούς χρησιμοποιώντας αυτές τις πληροφορίες, δημιουργώντας ένα φαινόμενο ντόμινο "- Kevin Shahbazi
Η πρόληψη είναι καλύτερη από τη θεραπεία
Είναι αδύνατο για τους καταναλωτές να αποτρέψουν τη διαρροή των δεδομένων τους από μια υπηρεσία που χρησιμοποιούν, δεδομένου ότι δεν είναι στα χέρια τους. Η υπηρεσία πρέπει να έχει καλές πρακτικές ασφαλείας και καλή υγιεινή κωδικού πρόσβασης. Αλλά τι μπορούν να κάνουν οι καταναλωτές για να περιορίσουν την έκθεσή τους σε μελλοντικές διαρροές; Ο Kevin υπογράμμισε εκ νέου ότι οι χρήστες πρέπει να αποφεύγουν διπλούς κωδικούς πρόσβασης και, όπου είναι δυνατόν, να χρησιμοποιούν έλεγχο ταυτότητας δύο παραγόντων.
"Ένας άλλος τρόπος με τον οποίο οι αναγνώστες μπορούν να εξασφαλίσουν την ασφάλεια του κωδικού πρόσβασης είναι ισχυρός είναι χρησιμοποιώντας την ταυτότητα δύο στοιχείων (2FA). Τι είναι ο έλεγχος ταυτότητας δύο παραγόντων και γιατί πρέπει να το χρησιμοποιήσετε Τι είναι ο έλεγχος ταυτότητας δύο παραγόντων και γιατί πρέπει να το χρησιμοποιήσετε Δύο- (2FA) είναι μια μέθοδος ασφαλείας που απαιτεί δύο διαφορετικούς τρόπους απόδειξης της ταυτότητάς σας. Χρησιμοποιείται συνήθως στην καθημερινή ζωή. Για παράδειγμα, η πληρωμή με πιστωτική κάρτα απαιτεί όχι μόνο την κάρτα, ... Διαβάστε περισσότερα, όπου εκτός από έναν κωδικό πρόσβασης, οι χρήστες πρέπει να παράσχουν μια άλλη πληροφορία, όπως δακτυλικό αποτύπωμα, PIN ή ερώτηση ασφαλείας, θα ήταν σε θέση να παρέχει. "- Kevin Shahbazi
Δεν είναι έκπληξη το γεγονός ότι ο Kevin συνιστά τη χρήση ενός διαχειριστή κωδικών πρόσβασης για την ασφαλή αποθήκευση σύνθετων κωδικών πρόσβασης. Είπε "ένας διαχειριστής κωδικών πρόσβασης Πώς Διαχειριστές κωδικών πρόσβασης Κρατήστε τους κωδικούς σας ασφαλή Πώς Διαχειριστές κωδικού πρόσβασης Διατηρήστε τους κωδικούς σας Ασφαλείς κωδικοί πρόσβασης που είναι δύσκολο να σπάσουν είναι επίσης δύσκολο να θυμόμαστε. Θέλετε να είστε ασφαλείς; Χρειάζεστε έναν διαχειριστή κωδικών πρόσβασης. Δείτε πώς λειτουργούν και πώς σας κρατούν ασφαλείς. Διαβάστε περισσότερα είναι ένας απλός τρόπος για να αποτρέψετε τους χάκερς από το να καταστρέψουν τη ζωή σας. Αυτά τα κρυπτογραφούν τους κωδικούς πρόσβασης σε έναν ασφαλή «θησαυρό», στον οποίο ο χρήστης μπορεί να έχει πρόσβαση μέσω ενός κύριου κωδικού πρόσβασης. »Πρόσθεσε ότι αυτά καθιστούν ευκολότερη τη χρήση ασφαλών και περίπλοκων κωδικών πρόσβασης.
"Υπάρχουν πολλοί ελεύθεροι, αξιόπιστοι διαχειριστές κωδικών πρόσβασης. Βεβαιωθείτε ότι χρησιμοποιείτε ένα αξιόπιστο. Πολλοί από αυτούς δεν κάνουν απλά να αποθηκεύουν τον κωδικό πρόσβασής σας, οπότε αναζητήστε εκείνους που χρησιμοποιούν "ένεση" για να εισαγάγετε κωδικούς πρόσβασης στα σωστά πεδία, αντί να απλά αντιγράψτε και επικολλήστε από το πρόχειρο. Αυτό σας βοηθά να αποφύγετε την επίθεση μέσω των keyloggers. "- Kevin Shahbazi
Τυλίγοντας
Ο Kevin, ίσως σωστά, διαταράσσεται από την ήπια ανταπόκριση του Spotify σε εκατοντάδες λογαριασμούς χρηστών που ψεκάζονται στο Pastebin. Είτε αυτή η διαρροή είναι μια εφάπαξ ή αν είναι ενδεικτική κάτι μεγαλύτερο για να έρθει παραμένει να δει.
Προσπαθήσαμε να επικοινωνήσουμε με την Spotify για να σχολιάσουμε αυτήν την ιστορία, αλλά δεν μπόρεσαν να το κάνουν. Αν ακούμε πίσω από την εταιρεία, θα ενημερώσουμε αυτό το άρθρο με την απάντησή του.
Συντελεστές εικόνας: Vdovichenko Denis / Shutterstock.com