Startseite Bezpečnostní Jak Spotify zapadla a proč byste se měli starat

Jak Spotify zapadla a proč byste se měli starat

  • Lesley Fowler
  • 0
  • 4785
  • 1048
reklama

Poslední únik Spotify může být ještě nejpodivnější. Na Pastebin byly postříkány stovky účtů. K těmto účtům již byl přistupován a mnoho z nich změnilo své e-maily. Nejenže nevíme, kdo je za únikem, ale Spotify je neústupný, že nebyl hacknut. Co je tedy? opravdu pokračuje?

Abych to zjistil, domluvil jsem si rozhovor s Kevinem Shahbazim, bezpečnostním expertem a generálním ředitelem společnosti pro správu hesel LogMeOnce. Kevin si vybudoval jméno v bezpečnostním průmyslu. Založil několik různých infosec společností, z nichž jedna - Trust Digital, která se specializuje na zabezpečení smartphonů na podnikové úrovni - získala McAfee v roce 2010.

Odbornost Kevina v oblasti bezpečnosti je nepopiratelná a chtěl jsem zjistit, co udělal z tohoto nejnovějšího porušení dat. V návaznosti na e-maily zaslané v úterý večer jsem ho griloval na tom, kdo by mohl být za únikem, co bylo špatného s odpovědí Spotify a co ovlivnění uživatelé mohou udělat, aby se chránili.

Anatomie úniku

Když se debakl Ashley Madison objevil jako přezrálý meloun Ashley Madison Leak No Big Deal? Ještě jednou přemýšlejte Ashley Madison Leak? Think Again Diskrétní online seznamka Ashley Madison (zaměřená především na podvádění manželů) byla hackována. Jedná se však o mnohem závažnější problém, než jaký byl vylíčen v tisku, se značnými důsledky pro bezpečnost uživatelů. odhalila na temném webu strašlivá tajemství milionů. Výpis dat, který měřil v gigabajtech, obsahoval vše od životopisných informací žadatelů o registraci až po jejich specifické sexuální preference. Jak porovnává únik Spotify?

“Co se týče úniku dat, bylo zmíněno pouze to, že došlo ke kompromitaci nespecifikovaných „stovek“ účtů. Informace o účtu, jako jsou platební údaje a informace o kreditní kartě, nebyly zahrnuty do úniku, ale e-maily, uživatelská jména, hesla, typ účtu a další podrobnosti o účtu byly.” - Kevin Shahbazi

Stále neexistují žádné informace o tom, kdo za útokem stojí, ačkoli uživatel publikoval název „Drakia12'na Pastebin. Kevin je otevřený možnosti, že samotný skládka nemusí být tak nová, a místo toho pocházel z účtů, které již byly uniknuty na temnou webovou cestu do skrytého webu: Průvodce pro nové vědce Cesta do skrytého webu: průvodce Pro nové výzkumníky Tato příručka vás provede prohlídkou mnoha úrovní hlubokého webu: databázemi a informacemi dostupnými v akademických časopisech. Nakonec dorazíme k branám Tor. , a nyní vstupují do širšího oběhu. Přihlašovací údaje pro Spotify a další streamingové weby, jako je Netflix, jsou k dispozici ke koupi v rušnějších částech internetu. Podle zprávy společnosti McAfee Labs jsou tato přihlášení neustále zneužívána kybernetickými zločinci, jakmile jsou ohroženi”.

Kevin také naznačil, že “hrubou silou” útok může být za únikem, říkat, “Dalším možným zdrojem [úniku] je program používaný k „hřebenování“ pomocí hesel nebo pouze pokus o několik různých kombinací hesel, dokud nenajde ten správný.”.

Zdá se to nepravděpodobné, protože většina služeb nyní omezuje počet neúspěšných pokusů o přihlášení, které může uživatel provést. To však není možné. V roce 2009 hackerové kompromitovali účty Ricka Sancheze, Billa O'Reillyho a Britney Spearsové na Twitteru a zveřejnily urážlivé zprávy.

Tento útok byl možný pouze proto, že v té době Twitter neomezoval pokusy o přihlášení a jeden administrátor měl slabé heslo do slovníku (bylo to “štěstí”).

Chtěl jsem vědět, jak je tento únik ve srovnání s jinými vysokými profily, jako jsou Ashley Madison, PlayStation Network a Mate1. Kevin řekl, že na rozdíl od jiných významných netěsností, Spotify není “vlastní” to. Neberou odpovědnost. Dodal, že nejsou “být aktivní v ochraně informací svých zákazníků”. Shahbazi se také obává, že únik může být předehrou něčeho mnohem většího.

“Zveřejněním malého vzorku dat mohli údajní hackeři jednoduše chtít uvést Spotify do obranného postavení. Po krátké době poté, co dojili účet, pravděpodobně zveřejní zbytek výpisu dat. Pokud je to jejich cíl, pak přijde další rozpaky a vedení by nakonec mohli ztratit své pozice ve Spotify.” - Kevin Shahbazi

Proč Spotify?

Asi nejzajímavější z hacku Spotify je, že je to tak nepravděpodobný cíl. Pro kyberzločince je přitažlivost kompromitovaného účtu PayPal nebo online bankovnictví online bankovnictví bezpečné? Většinou, ale zde je 5 rizik, o kterých byste měli vědět, je internetové bankovnictví bezpečné? Většinou, ale tady je 5 rizik, o kterých byste měli vědět O online bankovnictví je toho hodně. Je to pohodlné, může vám zjednodušit život, můžete dokonce dosáhnout lepších úspor. Je však internetové bankovnictví stejně bezpečné a bezpečné, jak by mělo být? je nepopiratelné. Spotify však není finanční instituce. Je to hudební web. Zeptal jsem se Kevina, proč by ho hacker mohl zacílit.

“Hodnota útoku na Spotify nebo jiné podobné služby se liší od hackera k hackerovi. V tomto případě se zdá, že průhlednost je nejpravděpodobnějším motivem nedávné netěsnosti, aby veřejnost ukázala, že jejich informace nejsou nutně zabezpečeny platformou a v konečném důsledku způsobují rozpaky vůči značce..” - Kevin Shahbazi

Mnoho lidí se rozhodne propojit své účty Facebook s Spotify. To zjednodušuje přihlašování a také přidává do služby sociální rozměr. Uživatelé mohou sdílet své oblíbené skladby se svými přáteli a získávat doporučení.

Mohlo by to vést k další bolesti pro postižené uživatele? Možná, řekl Kevin. Zejména pokud uživatel používá duplicitní heslo.

“Potenciální problém může být duplicitní hesla (nebo opakované použití jednoho hesla v různých službách). Protože kdokoli má nyní přístup ke stovkám přihlašovacích údajů Spotify, dává jim klíč ke všem dalším účtům a službám, které používají uniklé heslo).” - Kevin Shahbazi

Reakce Spotify

Vzhledem k vysokému profilu společnosti Spotify bylo nevyhnutelné, že by společnost nakonec zažila nějaký druh problému s bezpečností. Ale v tomto případě to bylo překvapivě neochotné o všem.

“Zatímco [v minulosti] byly aktivní při resetování uživatelských hesel u účtů, které se zdají být napadeny hackery, a říkají, že často prohledávají weby, jako je Pastebin, pro pověření Spotify, neučinily tak u nejnovějších údajných hacků, navzdory stovkám pověření Spotify, které se objevují online.” - Kevin Shahbazi

Dotčení zákazníci se museli aktivně obrátit na společnost Spotify, aby znovu získali přístup ke svým účtům. Podle příspěvků na Twitteru a různých článků v technologickém tisku to nebyl snadný úkol. Bohužel to není izolovaná událost pro Spotify.

“Spotify popřel existenci podobných údajných hacků, které se údajně odehrály v listopadu 2015 a znovu letos v únoru. Celkově lze říci, že veřejná prohlášení Spotify jsou v rozporu se zkušenostmi jejich zákazníků.” - Kevin Shahbazi

Kevin si není jistý, proč byl Spotify tak vehementně neprůhledný ohledně existence (nebo jiného) hacku, nebo zda se stal obětí chyby uživatele. To se však bojí “jejich nedostatečná průhlednost poškozuje pouze jejich značku, pověst a především jejich zákazníky”.

Co mohou ovlivnit uživatelé??

Doslova úniky byly ovlivněny doslova stovky uživatelů. Existuje velmi reálná možnost, že více účtů bylo ohroženo, ale zatím nebyly prozrazeny. Zeptal jsem se Kevina, jaká opatření by uživatelé Spotify měli přijmout, aby se chránili.

“Ať už jsou hacknuti nebo ne, všichni uživatelé Spotify by si měli být vědomi svých účtů. Pro ty, jejichž informace byly ohroženy, by měli okamžitě změnit své přihlašovací údaje pro všechny účty, které používaly stejné heslo, a také sledovat všechny finanční účty, které mohou být spojeny s Spotify. Musí se také obrátit na Spotify, aby jim sdělili problém s jejich účtem a resetovali jej.” - Kevin Shahbazi

Kevin dodal, že ti, kteří měli to štěstí, že nebyli zahrnuti do výpisu dat, by také měli přijmout preventivní opatření. Doporučuje, aby všichni uživatelé resetovali svá hesla a na všech zařízeních, na kterých je nainstalován Spotify, se uživatelé odhlásili a poté se znovu přihlásili. Zdůraznil také nebezpečí spoléhání se na duplicitní hesla.

“To je další případ, kdy se duplicitní hesla vracejí, aby poškodily ty, kteří hledají snadný přístup k více účtům. I když se může zdát, že přihlašovací informace Spotify byly hacknuty a všechny ostatní účty jsou v bezpečí, pokud bylo použito duplicitní heslo, mohlo by být použito pro úspěšné přihlášení k jiným účtům využívajícím tyto informace, čímž se vytvoří dominový efekt.” - Kevin Shahbazi

Prevence je lepší než léčba

Je nemožné, aby spotřebitelé zabránili úniku svých dat pomocí služby, kterou používají, protože to není v jejich rukou. Služba musí mít správné bezpečnostní postupy a dobrou hygienu hesla. Co však mohou spotřebitelé udělat, aby omezili vystavení budoucím únikům? Kevin znovu zdůraznil, že uživatelé by se měli vyhnout duplicitnímu heslu a pokud je to možné, používat dvoufaktorové ověření.

“Další možností, jak si mohou čtenáři zajistit zabezpečení heslem, je použití dvoufaktorové autentizace (2FA) Co je dvoufaktorové ověření a proč byste ho měli používat Co je dvoufaktorové ověření a proč byste měli používat dvoufaktorové ověření autentizace (2FA) je bezpečnostní metoda, která vyžaduje dva různé způsoby prokázání vaší identity. Běžně se používá v každodenním životě. Například platba kreditní kartou vyžaduje nejen kartu,… kde jsou uživatelé kromě hesla povinni poskytnout další informace, jako je otisky prstů, PIN nebo bezpečnostní otázka, které by pouze oni mohli poskytnout.” - Kevin Shahbazi

Není divu, že Kevin doporučuje použití správce hesel, aby bylo možné bezpečně ukládat složitá hesla. Řekl “správce hesel Jak manažeři hesel udržují vaše hesla v bezpečí Jak manažeři hesel udržují vaše hesla v bezpečí Hesla, která se těžko lámou, je také obtížně zapamatovatelná. Chcete být v bezpečí? Potřebujete správce hesel. Tady je, jak fungují a jak vás udržují v bezpečí. je jednoduchý způsob, jak zabránit hackerům, aby ve vašem životě vyvolali chaos. Tato šifrování hesel v zabezpečeném „úschovně“, ke kterému má uživatel přístup prostřednictvím jednoho hlavního hesla.” Dodal, že to usnadňuje používání bezpečných a složitých hesel.

“Existuje mnoho bezplatných a spolehlivých správců hesel. Ujistěte se, že používáte seriózní. Mnohé z nich dělají víc než jen uložit své heslo, takže hledejte ty, které používají “injekce” vložit hesla do správných polí, spíše než jednoduše kopírovat a vkládat ze schránky. To vám pomůže vyhnout se útokům pomocí keyloggerů.” - Kevin Shahbazi

Zabalení

Kevin, možná správně, je znepokojen mírnou reakcí Spotify na stovky jejich uživatelských účtů, které byly nastříkány na Pastebin. Zda je tento únik jednorázový, nebo zda svědčí o tom, že přijde něco většího, je ještě třeba vidět.

Pokusili jsme se kontaktovat Spotify, abychom mohli komentovat tento příběh, ale nebyli jsme schopni to udělat. Pokud uslyšíme zpět od společnosti, budeme aktualizovat tento článek s jeho odpověď.

Obrazové kredity: Vdovichenko Denis / Shutterstock.com




Bisher hat noch niemand einen Kommentar zu diesem Artikel abgegeben.

Prvek Amazon Fire TV Edition Recenze Recenze, jak se hádá, jak to dostane
Recenze produktů
Vidění věří Amazonské echo Show Review
Recenze produktů
Jeden tablet bude vládnout jim všem Microsoft Surface Pro 2017 Recenze
Recenze produktů
O moderní technologii, jednoduché a cenově dostupné.
Váš průvodce ve světě moderních technologií. Naučte se, jak používat technologie a pomůcky, které nás každý den obklopují, a naučte se, jak objevovat na internetu zajímavé věci.