Содержание
Последняя утечка Spotify может быть самой странной. Сотни аккаунтов были выплеснуты на Пастебина. Эти учетные записи уже были доступны, и многие из них изменили свою электронную почту. Но мы не только не знаем, кто стоит за утечкой, но Spotify непреклонен, его не взломали. Итак, что на самом деле происходит?
Чтобы выяснить это, я организовал беседу с Кевином Шахбази, экспертом по безопасности и генеральным директором фирмы по управлению паролями LogMeOnce. Кевин зарекомендовал себя в индустрии безопасности. Он основал несколько разных компаний, занимающихся информационными технологиями, одна из которых — Trust Digital, специализирующаяся на защите смартфонов на уровне предприятия, — была приобретена McAfee в 2010 году.
Опыт Кевина в области безопасности бесспорен, и я хотел выяснить, что он сделал с этим последним взломом данных. Из-за потока писем, отправленных во вторник вечером, я уговорил его узнать, кто может быть за утечкой, что не так с ответом Spotify и что могут повлиять пользователи, чтобы защитить себя.
Анатомия утечки
Когда разгром Эшли Мэдисон лопнул, как перезрелая дыня
Он раскрыл грязные тайны миллионов на Темной паутине. В дампе данных, измеряемом в гигабайтах, перечислялись все, начиная от биографической информации владельцев регистраций на сайте и даже заканчивая их нишевыми сексуальными предпочтениями. Как сравнить утечку Spotify?
«Что касается утечки данных, то упоминалось только о том, что неуказанные« сотни »учетных записей были взломаны. Информация об учетной записи, такая как информация об оплате и информация о кредитной карте, не были включены в утечку, но электронные письма, имена пользователей, пароли, тип учетной записи и дополнительные сведения об учетной записи были ». — Кевин Шахбази
О том, кто стоял за атакой, до сих пор нет информации, хотя она была опубликована пользователем под названием «Drakia12» на Pastebin. Кевин открыт для вероятности того, что сам дамп может быть не таким уж новым, и вместо этого он пришел из учетных записей, которые уже просочились в Темную Сеть
и сейчас вступают в более широкое обращение. Логины для Spotify и других потоковых сайтов, таких как Netflix, доступны для покупки в более мрачных частях Интернета, и согласно отчету McAfee Labs, эти логины постоянно распространяются киберпреступниками после их взлома ».
Кевин также намекнул, что за утечкой может быть атака «грубой силой», сказав: «Еще один возможный источник [утечки] — это программа, используемая для« прочесывания »паролей или просто попытки нескольких разных комбинаций паролей, пока не найдет правильную один».
Это кажется маловероятным, поскольку большинство служб теперь ограничивают количество неудачных попыток входа в систему, которые может предпринять пользователь. Тем не менее, это не невозможно. В 2009 году хакеры взломали аккаунты Рика Санчеса, Билла О’Рейли и Бритни Спирс в Твиттере, и были опубликованы оскорбительные сообщения.
Эта атака была возможна только потому, что в то время Twitter не ограничивал попытки входа в систему, и у одного администратора был слабый пароль к словарю (это было «счастье»).
Я хотел знать, как эта утечка по сравнению с другими громкими утечками, такими как утечки Эшли Мэдисон, PlayStation Network и Mate1. Кевин сказал, что в отличие от других известных утечек, Spotify не «владеет» им. Они не берут на себя ответственность. Он также добавил, что они «активно не защищают информацию своих клиентов». Шахбази также обеспокоен тем, что утечка может стать причиной чего-то гораздо большего.
«Публикуя небольшую выборку данных, якобы хакеры просто хотели поставить Spotify в оборонительную позицию. Затем, через некоторое время, после того, как они доят учетную запись, они, вероятно, опубликуют оставшуюся часть дампа данных. Если это их цель, то наступает еще большее смущение, и руководители могут в конечном итоге потерять свои позиции в Spotify ». — Кевин Шахбази
Почему Spotify?
Возможно, что самое загадочное в хаке Spotify, так это то, что это такая маловероятная цель. Для киберпреступника — привлекательность скомпрометированной учетной записи PayPal или онлайн-банкинга
не вызывает сомнений. Но Spotify не является финансовым учреждением. Это музыкальный сайт. Я спросил Кевина, почему хакер может нацелиться на него.
«Ценность атаки на Spotify или другие подобные сервисы варьируется от хакера к хакеру. В этом случае прозрачность, по-видимому, является наиболее вероятным мотивом недавней утечки, чтобы показать общественности, что их информация не обязательно защищена платформой и, в конечном итоге, вызывает смущение для бренда », — Кевин Шахбази.
Многие люди предпочитают связывать свои учетные записи Facebook с Spotify. Это упрощает вход в систему, а также добавляет социальный аспект в сервис. Пользователи могут делиться своими любимыми композициями со своими друзьями и получать рекомендации.
Может ли это привести к дальнейшей боли для пострадавших пользователей? Потенциально, сказал Кевин. Особенно, если пользователь использует дублированный пароль.
«Дублирующие пароли (или повторное использование одного пароля в разных сервисах) могут быть потенциальной проблемой. Поскольку теперь любой может получить доступ к сотням входов в Spotify, это дает им ключ к любым другим учетным записям и службам, использующим утечку пароля) ». — Кевин Шахбази
Ответ Spotify
Учитывая высокий авторитет Spotify, было неизбежно, что компания в конечном итоге столкнется с проблемой безопасности. Но в этом случае это было удивительно небрежно во всем.
«Хотя [в прошлом] они активно сбрасывали пароли пользователей для учетных записей, которые, по-видимому, были взломаны, и сказали, что они часто сканируют сайты, такие как Pastebin, на наличие учетных данных Spotify, они не сделали этого с последним предполагаемым взломом, несмотря на сотни учетных данных Spotify появляются в сети ». — Кевин Шахбази
Пострадавшие клиенты должны были активно обращаться к Spotify, чтобы восстановить доступ к своим учетным записям. Согласно сообщениям в Твиттере и различным статьям в прессе о технологиях, это было нелегкой задачей. К сожалению, это не единичное событие для Spotify.
«Spotify отрицает существование подобных предполагаемых взломов, которые предположительно имели место в ноябре 2015 года и снова в этом феврале. В целом, публичные заявления Spotify противоречат опыту их клиентов ». — Кевин Шахбази
Кевин не уверен, почему Spotify был настолько яростен и непрозрачен в отношении существования (или иного) взлома, или же он был жертвой пользовательской ошибки. Однако он обеспокоен тем, что «отсутствие прозрачности наносит ущерб только их бренду, репутации и, прежде всего, их клиентам».
Что могут сделать пострадавшие пользователи?
Буквально сотни пользователей пострадали от утечки. Существует очень реальная возможность того, что больше учетных записей было взломано, но еще не было утечки. Я спросил Кевина, какие меры должны принять пользователи Spotify, чтобы защитить себя.
«Независимо от того, взломаны они или нет, все пользователи Spotify должны знать свои учетные записи. Для тех, чья информация была скомпрометирована, они должны немедленно изменить свою регистрационную информацию для любых учетных записей, которые использовали тот же пароль, а также контролировать любые финансовые учетные записи, которые могут быть связаны с Spotify. Они также должны связаться со Spotify, чтобы сообщить им об этой проблеме со своей учетной записью, а также сбросить ее ». — Кевин Шахбази
Кевин добавил, что те, кому посчастливилось не быть включенным в дамп данных, также должны принять меры предосторожности. Он рекомендует всем пользователям сбросить свои пароли, и на всех устройствах, на которых установлен Spotify, пользователи выходят из системы, а затем снова входят в систему. Он также подчеркнул опасность использования дублирующих паролей.
«Это еще один случай, когда повторяющиеся пароли возвращаются, чтобы нанести вред тем, кто ищет простоту доступа к нескольким учетным записям. Хотя может показаться, что информация для входа в Spotify была взломана, а все остальные учетные записи в безопасности, если использовался дублированный пароль, его можно использовать для успешного входа в другие учетные записи, использующие эту информацию, создавая эффект домино ». — Кевин Шахбази
Профилактика лучше лечения
Потребители не могут предотвратить утечку своих данных с помощью услуг, которые они используют, поскольку они не в их руках. У службы должны быть хорошие методы обеспечения безопасности и хорошая гигиена паролей. Но что могут сделать потребители, чтобы ограничить свое воздействие будущих утечек? Кевин еще раз подчеркнул, что пользователям следует избегать дублирования паролей и, где возможно, использовать двухфакторную аутентификацию.
«Еще один способ, которым читатели могут обеспечить надежную защиту своих паролей, — это использование двухфакторной аутентификации (2FA).
где в дополнение к паролю пользователи должны предоставить другую информацию, такую как отпечаток пальца, PIN-код или секретный вопрос, которую смогут предоставить только они ». — Кевин Шахбази
Неудивительно, что Кевин рекомендует использовать менеджер паролей для безопасного хранения сложных паролей. Он сказал «менеджер паролей
это простой способ не дать хакерам нанести ущерб вашей жизни. Эти пароли шифруются в безопасном «хранилище», к которому пользователь может получить доступ через один мастер-пароль ». Он добавил, что они упрощают использование безопасных сложных паролей.
«Существует много бесплатных и надежных менеджеров паролей. Убедитесь, что вы используете авторитетный. Многие из них делают больше, чем просто сохраняют ваш пароль, поэтому ищите те, которые используют «инъекцию» для вставки паролей в правильные поля, а не просто копируют и вставляют из буфера обмена. Это поможет вам избежать атак со стороны кейлоггеров ». — Кевин Шахбази
Завершение
Кевин, возможно, справедливо, обеспокоен мягким ответом Spotify на сотни их учетных записей пользователей, распыляемых на Pastebin. Является ли эта утечка одноразовой или свидетельствует о том, что что-то большее должно произойти, еще неизвестно.
Мы пытались связаться со Spotify для комментариев к этой истории, но не смогли этого сделать. Если мы получим ответ от компании, мы обновим эту статью ответом.
Авторы изображений: Вдовиченко Денис / Shutterstock.com
