Glavna stranica sigurnosti Kako spotify ste dobili ubod i zašto biste trebali brinuti

Kako spotify ste dobili ubod i zašto biste trebali brinuti

  • Lesley Fowler
  • 0
  • 5382
  • 805
Oglas

Najnoviji Spotify curenje mogao bi biti najčudniji do sada. Stotine računa zapljusnulo je Pastebin. Tim računima je već pristupljeno, a mnogi su promijenili svoju e-poštu. Ali ne samo da ne znamo tko stoji iza curenja, Spotify je uporan i nije bio hakiran. Pa što stvarno ići na?

Da bih to otkrio dogovorio sam razgovor s Kevinom Shahbazijem, stručnjakom za sigurnost i izvršnim direktorom tvrtke za upravljanje lozinkom LogMeOnce. Kevin je sebi izgradio ime u sigurnosnoj industriji. Osnovao je nekoliko različitih infosec kompanija, od kojih je jednu - Trust Digital, koja se specijalizirala za sigurnost pametnih telefona na razini poduzeća - McAfee kupio 2010. godine.

Kevinova stručnost u području sigurnosti neosporna je i želio sam otkriti što je napravio o ovom posljednjem kršenju podataka. Tijekom navale e-mailova poslanih u utorak navečer, uhvatio sam ga o tome tko možda stoji iza curenja, što je bilo tako pogrešno u odgovoru Spotifyja i što pogođeni korisnici mogu učiniti da se zaštite.

Anatomija curenja

Kad je debakl Ashley Madison iskočio poput prezrelog kantautora, Ashley Madison nije procurio? Razmislite ponovo Ashley Madison nije puštala velike ponude? Razmislite ponovo Diskretna internetska stranica za upoznavanja Ashley Madison (usmjerena prvenstveno na varanje supružnika) hakirana je. Međutim, ovo je daleko ozbiljnije pitanje nego što je opisano u tisku, s znatnim posljedicama na sigurnost korisnika. , razotkrio je sumorne tajne milijuna na Mračnom webu. Deponiranje podataka, koje se mjeri u gigabajtima, popisalo je sve, od biografskih podataka registrara mjesta, pa sve do njihovih seksualnih sklonosti niša. Kako se uspoređuje curenje Spotifyja?

“Što se tiče podataka koliko je procurilo, samo je spomenuto da je ugrožena "stotina" računa. Podaci o računu poput podataka o plaćanju i podataka o kreditnim karticama nisu uključeni u propust, ali e-poruke, korisnička imena, lozinke, vrsta računa i dodatni detalji računa bili su.” - Kevin Shahbazi

Još uvijek nema podataka o tome tko stoji iza napada, mada ga je objavio korisnik pod imenom 'Drakia12'na Pastebin. Kevin je otvoren za mogućnost da sam deponij možda i nije sve tako nov, a umjesto toga došao je s računa koji su već procurili na putovanje mračnim mrežama u skriveni web: vodič za nove istraživače koji putuju u skriveni web: vodič Za nove istraživače Ovaj priručnik vodi vas u obilazak mnogih razina dubokog weba: baze podataka i informacija dostupnih u akademskim časopisima. Napokon ćemo stići do Torinih vrata. , a sada ulaze u širi tiraž. Prijave za Spotify i ostale web stranice za prijenos poput Netflixa dostupne su za kupnju na mračnijim dijelovima Interneta, a prema izvješću McAfee Labs, tim prijavama neprestano cirkuliraju cyber-kriminalci nakon što su ugroženi”.

Kevin je također nagovijestio da a “sirova snaga” napad bi mogao biti iza curenja, govoreći, “Drugi mogući izvor [curenja] je program koji se koristi za "češljanje" lozinkom ili samo pokušavanje više različitih kombinacija lozinki dok ne nađe ispravnu”.

To se čini malo vjerojatnim, budući da većina usluga sada ograničava količinu neuspjelih pokušaja prijave koji korisnik može napraviti. Međutim, nije nemoguće. 2009. godine hakeri su na Twitteru račune Ricka Sancheza, Billa O'Reillyja i Britney Spears, pa su bile uvredljive poruke.

Ovaj je napad bio moguć samo zato što tada Twitter nije ograničavao pokušaje prijave, a jedan administrator imao je slabu lozinku za rječnik (bila je “sreća”).

Želio sam znati kako to curenje u usporedbi s drugim visokim propustima, kao što su Ashley Madison, PlayStation Network i Mate1. Kevin je rekao da Spotify, za razliku od drugih značajnih curenja, nije “posjedovanje” to. Ne preuzimaju odgovornost. Ni oni, dodao je, nisu “biti proaktivan u zaštiti podataka svojih kupaca”. Shahbazi se također brine da bi curenje moglo biti zamišljeno za nešto puno veće.

“Objavljivanjem malog uzorka podataka navodni su hakeri možda jednostavno htjeli staviti Spotify u obrambeni položaj. Nakon kraćeg vremena, nakon što uplate račun, vjerojatno će objaviti ostatak zbirke podataka. Ako im je to cilj, onda će doći još više sramote, a rukovoditelji bi mogli izgubiti svoje pozicije na Spotifyju.” - Kevin Shahbazi

Zašto Spotify?

Možda je ono što najviše zbunjuje u vezi s hakiranjem Spotifya to što je tako malo vjerojatna meta. Na cyber-kriminalca, primamljivanje kompromitiranog PayPal-a ili računa na mreži putem interneta Je li Online Banking sigurno? Uglavnom, ali ovdje je 5 rizika o kojima biste trebali znati je li internetsko bankarstvo sigurno? Uglavnom, ali ovdje je 5 rizika o kojima biste trebali znati mnogo o mrežnom bankarstvu. To je zgodno, može vam pojednostaviti život, čak možete dobiti bolje stope štednje. No, je li internetsko bankarstvo jednako sigurno i sigurno? neosporna je. Ali Spotify nije financijska institucija. To je glazbena web stranica. Pitao sam Kevina zašto je haker mogao ciljati.

“Vrijednost napada na Spotify ili druge slične usluge varira od hakera do hakera. U ovom slučaju, čini se da je transparentnost najvjerojatniji motiv iza nedavnog curenja, kako bi se javnosti pokazalo da njihove informacije nisu nužno sigurne na platformi, i na kraju, uzrokuje sramotu za marku.” - Kevin Shahbazi

Mnogi ljudi odluče povezati svoje Facebook račune s Spotifyjem. To pojednostavljuje prijavu, a također dodaje društvenu dimenziju usluzi. Korisnici mogu podijeliti svoje omiljene zapise sa svojim prijateljima i dobiti preporuke.

Može li to dovesti do daljnje boli kod pogođenih korisnika? Potencijalno, rekao je Kevin. Pogotovo ako korisnik koristi duplikanu lozinku.

“Duplikatne lozinke (ili ponovna upotreba jedne zaporke u različitim uslugama) mogu biti potencijalni problem. Budući da sada svi mogu pristupiti stotinama prijava Spotify-a, to im daje ključ za sve druge račune i usluge koji koriste procurenu lozinku).” - Kevin Shahbazi

Spotifyjev odgovor

S obzirom na visoki profil Spotifyja, bilo je neizbježno da će tvrtka na kraju doživjeti neku vrstu sigurnosnih problema. Ali u ovom je slučaju bilo iznenađujuće nonšalantno u svemu.

“Iako su [u prošlosti] bili proaktivni u resetiranju korisničkih lozinki za račune za koje se čini da su hakirani i rekli su da često skeniraju web lokacije poput Pastebina za Spotify vjerodajnice, to nisu učinili s najnovijim navodnim hakiranjem, unatoč stotinama od Spotify vjerodajnica koje se pojavljuju na mreži.” - Kevin Shahbazi

Pogođeni kupci morali su aktivno kontaktirati Spotify kako bi dobili pristup svojim računima. Prema objavama na Twitteru i raznim člancima u tiskovini o tehnologiji, to nije bio lak zadatak. Nažalost, za Spotify ovo nije izolirani događaj.

“Spotify je negirao postojanje sličnih navodnih hakova koji su se navodno dogodili u studenom 2015. i opet ove veljače. Sve u svemu, Spotifyjeva javna saopćenja su u suprotnosti s iskustvima svojih kupaca.” - Kevin Shahbazi

Kevin nije siguran zašto je Spotify bio tako oštro nejasan o postojanju (ili na neki drugi način) haka ili je li bio žrtva korisničke pogreške. Međutim, on se brine zbog toga “njihov netransparentnost samo šteti njihovoj marki, reputaciji i ponajviše njihovim kupcima”.

Što mogu utjecati na korisnike?

Bukvalno su stotine korisnika zahvatile curenje. Postoji vrlo realna mogućnost da je ugroženo više računa, ali još uvijek nije procurilo. Pitao sam Kevina koje mjere Spotify korisnici trebaju poduzeti kako bi se zaštitili.

“Bez obzira na to jesu li hakirani ili ne, svi korisnici Spotifya trebali bi biti svjesni svojih računa. Oni kojima su podaci ugroženi trebali bi odmah promijeniti svoje podatke za prijavu za sve račune koji koriste istu lozinku, kao i nadgledati sve financijske račune koji mogu biti povezani sa Spotifyom. Moraju kontaktirati i Spotify kako bi ih obavijestili o problemu sa svojim računom kao i da ga resetiraju.” - Kevin Shahbazi

Kevin je dodao da oni koji imaju dovoljno sreće da nisu uključeni u deponiju podataka također trebaju poduzeti mjere opreza. Preporučuje da svi korisnici resetiraju svoje lozinke, a na svim uređajima na kojima je instaliran Spotify, korisnici se odjavljuju i ponovo prijavljuju. Također je naglasio opasnost oslanjanja na dvostruke lozinke.

“Ovo je još jedan slučaj u kojem se vraćaju dvostruke lozinke kako bi naštetili onima koji traže lakši pristup više računa. Iako se može činiti da su podaci za prijavu Spotifyja hakirani, a svi ostali računi sigurni, ako se koristi dvostruka lozinka, ona bi se mogla koristiti za uspješnu prijavu na druge račune koji koriste te podatke, stvarajući domino efekt.” - Kevin Shahbazi

Prevencija je bolja od izlječenja

Potrošačima je nemoguće spriječiti da njihove podatke procuri usluga koju koriste jer to nije u njihovim rukama. Usluga mora imati dobre sigurnosne postupke i dobru higijenu lozinke. Ali što potrošači mogu učiniti kako bi ograničili svoju izloženost budućim propuštanjima? Kevin je ponovno naglasio da korisnici trebaju izbjegavati dvostruke lozinke i, kad je to moguće, koristiti dvofaktornu provjeru autentičnosti.

“Drugi način na koji čitatelji mogu osigurati da im sigurnost lozinke bude jaka je korištenjem dvofaktorske provjere autentičnosti (2FA) Što je dvofaktorska provjera autentičnosti i zašto biste je trebali koristiti Što je dvofaktorska provjera autentičnosti i zašto biste je trebali koristiti dvofaktorno. autentifikacija (2FA) je sigurnosna metoda koja zahtijeva dva različita načina dokazivanja vašeg identiteta. Uobičajeno se koristi u svakodnevnom životu. Na primjer, plaćanje kreditnom karticom ne zahtijeva samo karticu, ... gdje su korisnici, pored lozinke, dužni pružiti još jedan podatak, poput otiska prsta, PIN-a ili sigurnosnog pitanja, da bi samo oni mogli pružiti.” - Kevin Shahbazi

Ne iznenađuje da Kevin preporučuje upotrebu upravitelja lozinki, kako bi se sigurno pohranile složene lozinke. On je rekao “upravitelj lozinki Kako menadžeri lozinki čuvaju vaše lozinke Kako se menadžeri lozinki čuvaju sigurne lozinke teško se mogu sjetiti. Želite biti sigurni? Trebate upravitelja lozinki. Evo kako rade i kako vas čuvaju. je jednostavan način sprječavanja hakera da pustoše na vaš život. Ove šifriraju lozinke u sigurnom 'trezoru', kojima korisnik može pristupiti putem jedne glavne lozinke.” Dodao je da ovi olakšavaju upotrebu sigurnih, složenih lozinki.

“Postoje mnogi besplatni, pouzdani upravitelji lozinki. Obavezno koristite renomirani. Mnogi od njih rade samo više nego što jednostavno pohranjuju vašu lozinku, pa potražite one koje koriste “ubrizgavanje” da biste umetnuli lozinke u ispravna polja, umjesto da jednostavno kopirate i lijepite iz međuspremnika. To vam pomaže da izbjegnete napad preko keyloggera.” - Kevin Shahbazi

Završavati

Kevina, možda s pravom, uznemiruje blagi odgovor Spotifyja na stotine njihovih korisničkih računa raspršene Pastebinom. Hoće li ovo curenje biti jednokratno ili je pokazatelj nečeg većeg, ostaje za vidjeti.

Pokušali smo stupiti u kontakt sa Spotifyjem radi komentiranja ove priče, ali nismo uspjeli. Ako nam se javimo iz tvrtke, ažurirat ćemo ovaj članak s njegovim odgovorom.

Slikovni krediti: Vdovichenko Denis / Shutterstock.com




Još ne komentari

Blokirajte promotivne SMS neželjene poruke pomoću ovih Android aplikacija
Android
Kako slati automatske odgovore na tekstualne poruke na Androidu
Android
Uštedite na prostoru za pohranu pomoću ovih 7 Lite Android aplikacija
Android
O modernoj tehnologiji, jednostavnoj i pristupačnoj.
Vaš vodič u svijetu moderne tehnologije. Naučite kako koristiti tehnologije i uređaje koji nas okružuju svaki dan i naučite kako otkriti zanimljivosti na Internetu.