Come è stato punto Spotify e perché dovresti preoccuparti

Annuncio pubblicitario

Il ultima perdita di Spotify potrebbe essere il più strano ancora. Centinaia di account sono stati schizzati su Pastebin. A questi account è già stato effettuato l'accesso, molti hanno avuto le loro e-mail modificate. Ma non solo non sappiamo chi c'è dietro la perdita, Spotify è irremovibile che non è stato violato. Allora, cosa c'è veramente sta succedendo?

Per scoprirlo, ho organizzato una chat con Kevin Shahbazi, esperto di sicurezza e CEO della società di gestione delle password LogMeOnce. Kevin si è costruito un nome nel settore della sicurezza. Ha lanciato diverse società di infosec, di cui una - Trust Digital, specializzata nella sicurezza degli smartphone a livello aziendale acquisito da McAfee nel 2010.

L'esperienza di Kevin nel campo della sicurezza è innegabile e volevo scoprire che cosa ha fatto di quest'ultima violazione dei dati. Nel corso di una raffica di e-mail inviate un martedì sera, gli ho grigliato su chi potrebbe essere dietro la perdita, cosa c'era di così sbagliato nella risposta di Spotify e cosa gli utenti interessati possono fare per proteggersi.

L'anatomia della perdita

Quando la debacle di Ashley Madison spuntò come un melone troppo maturo Ashley Madison Leak non è un grosso problema? Pensa di nuovoIl discreto sito di incontri online Ashley Madison (destinato principalmente ai coniugi traditori) è stato violato. Tuttavia, si tratta di un problema molto più grave di quello che è stato descritto dalla stampa, con notevoli implicazioni per la sicurezza dell'utente. Leggi di più , ha esposto i sordidi segreti di milioni sulla rete oscura. Il dump dei dati, misurato in gigabyte, elencava tutto, dalle informazioni biografiche dei registranti del sito, fino alle loro preferenze sessuali di nicchia. Come si confronta la perdita di Spotify?

"Per quanto riguarda la quantità di dati trapelati, è stato menzionato solo che" centinaia "di account non specificati sono stati compromessi. Le informazioni sull'account come i dettagli di pagamento e le informazioni sulla carta di credito non sono state incluse nella perdita, ma erano email, nomi utente, password, tipo di account e dettagli aggiuntivi sull'account ". - Kevin Shahbazi

Non ci sono ancora informazioni su chi fosse dietro l'attacco, sebbene sia stato pubblicato da un utente con il nome di "Drakia12"Su Pastebin. Kevin è aperto alla possibilità che la stessa discarica potrebbe non essere così nuova, e invece proveniva da account che erano già trapelati il Dark Web Viaggio nel web nascosto: una guida per i nuovi ricercatoriQuesto manuale ti accompagnerà in un tour attraverso i molti livelli del deep web: database e informazioni disponibili nelle riviste accademiche. Finalmente arriveremo alle porte di Tor. Leggi di più e ora stanno entrando in una circolazione più ampia. I login per Spotify e altri siti di streaming come Netflix sono disponibili per l'acquisto nelle parti più oscure di Internet e in base a un rapporto di McAfee Labs, questi accessi vengono continuamente diffusi dai cyber criminali una volta che sono stati compromessi ".

Kevin ha anche suggerito che un attacco di "forza bruta" potrebbe essere dietro la perdita, dicendo: "Un'altra possibile fonte [della perdita] è un programma utilizzato per "pettinare" le password o semplicemente tentare più combinazioni di password diverse finché non trova la corretta uno".

Ciò sembra improbabile, poiché la maggior parte dei servizi ora limita la quantità di tentativi di accesso non riusciti che un utente può effettuare. Tuttavia, non è impossibile. Nel 2009, gli account Twitter di Rick Sanchez, Bill O’Reilly e Britney Spears sono stati compromessi dagli hackere sono stati pubblicati messaggi offensivi.

Questo attacco era possibile solo perché, al momento, Twitter non limitava i tentativi di accesso e un amministratore aveva una password del dizionario debole (era "felicità").

Volevo sapere come questa perdita rispetto ad altre perdite di alto profilo, come le perdite di Ashley Madison, PlayStation Network e Mate1. Kevin ha detto che a differenza di altre importanti perdite, Spotify non lo "possiede". Non si stanno assumendo la responsabilità. Né, ha aggiunto, sono "attivi nella protezione delle informazioni dei loro clienti". Shahbazi teme anche che la perdita possa essere l'ouverture di qualcosa di molto più grande.

“Pubblicando un piccolo campione di dati, i presunti hacker potrebbero aver semplicemente voluto mettere Spotify in una posizione difensiva. Quindi, dopo un po 'di tempo, dopo aver munto l'account, probabilmente pubblicheranno il resto del dump dei dati. Se questo è il loro obiettivo, allora arriverà più imbarazzo e i dirigenti potrebbero finire per perdere le loro posizioni su Spotify. " - Kevin Shahbazi

Perché Spotify

Forse la cosa più sconcertante dell'hack di Spotify è che è un bersaglio così improbabile. Per un cyber-criminale, il fascino di un PayPal compromesso o conto bancario online L'online banking è sicuro? Principalmente, ma qui ci sono 5 rischi che dovresti conoscereC'è molto da apprezzare sull'online banking. È conveniente, può semplificarti la vita, potresti persino ottenere tassi di risparmio migliori. Ma l'online banking è sicuro come dovrebbe essere? Leggi di più è innegabile. Ma Spotify non è un istituto finanziario. È un sito Web musicale. Ho chiesto a Kevin perché un hacker potrebbe prenderne di mira.

"Il valore dell'attacco a Spotify o altri servizi simili varia da hacker a hacker. In questo caso, la trasparenza sembra essere il motivo più probabile dietro la recente fuga, per mostrare al pubblico che il loro le informazioni non sono necessariamente sicure con la piattaforma e, in definitiva, causano imbarazzo per il marchio ". - Kevin Shahbazi

Molte persone scelgono di collegare i loro account Facebook con Spotify. Ciò semplifica l'accesso e aggiunge anche una dimensione sociale al servizio. Gli utenti sono in grado di condividere i loro brani preferiti con i loro amici e ottenere consigli.

Ciò potrebbe causare ulteriore dolore agli utenti interessati? Potenzialmente, ha detto Kevin. Soprattutto se l'utente utilizza una password duplicata.

"Le password duplicate (o il riutilizzo di una singola password tra servizi diversi) potrebbero costituire un potenziale problema. Dal momento che chiunque può ora accedere a centinaia di accessi Spotify, questo fornisce loro la chiave per qualsiasi altro account e servizio che utilizza la password trapelata. " - Kevin Shahbazi

La risposta di Spotify

Dato l'alto profilo di Spotify, era inevitabile che l'azienda alla fine dovesse riscontrare qualche tipo di problema di sicurezza. Ma in questo caso, è stato sorprendentemente disinvolto per tutto.

"Mentre [in passato] sono stati proattivi nel reimpostare le password degli utenti per gli account che sembrano essere stati hackerati, e hanno detto che scansionano spesso siti come Pastebin per le credenziali di Spotify, non l'hanno fatto con il presunto hack più recente, nonostante centinaia di credenziali di Spotify appaiano online. " - Kevin Shahbazi

I clienti interessati hanno dovuto contattare attivamente Spotify per riottenere l'accesso ai propri account. Secondo i post su Twitter e vari articoli sulla stampa tecnologica, questo non è stato un compito facile. Purtroppo, questo non è un evento isolato per Spotify.

“Spotify ha negato l'esistenza di presunti hack analoghi che presumibilmente si sono verificati nel novembre 2015 e di nuovo lo scorso febbraio. Nel complesso, le dichiarazioni pubbliche di Spotify contraddicono le esperienze dei loro clienti ". - Kevin Shahbazi

Kevin non è sicuro del motivo per cui Spotify sia stato così veemente opaco sull'esistenza (o meno) di un hack, o se fosse vittima di un errore dell'utente. Tuttavia, teme che "la loro mancanza di trasparenza stia solo danneggiando il loro marchio, la loro reputazione e soprattutto i loro clienti".

Cosa possono fare gli utenti interessati?

Letteralmente centinaia di utenti sono stati colpiti dalla perdita. Esiste una possibilità molto reale che un numero maggiore di account sia stato compromesso, ma non sia ancora stato fatto trapelare. Ho chiesto a Kevin quali misure gli utenti Spotify dovrebbero prendere per proteggersi.

“Che sia stato violato o meno, tutti gli utenti Spotify dovrebbero essere consapevoli dei loro account. Per coloro le cui informazioni sono state compromesse devono immediatamente cambiare le loro informazioni di accesso per qualsiasi account che hanno utilizzato la stessa password, nonché monitorare eventuali account finanziari a cui è possibile essere collegati Spotify. Devono anche contattare Spotify per far loro conoscere il problema con il proprio account e per ripristinarlo. " - Kevin Shahbazi

Kevin ha aggiunto che anche coloro che hanno avuto la fortuna di non essere inclusi nel dump dei dati dovrebbero prendere precauzioni. Consiglia a tutti gli utenti di reimpostare le proprie password e su tutti i dispositivi su cui è installato Spotify, gli utenti si disconnettono e quindi riconnettono. Ha anche sottolineato i pericoli di affidarsi a password duplicate.

"Questo è un altro caso in cui password duplicate tornano a danneggiare chi cerca facilità di accesso a più account. Anche se può sembrare che le informazioni di accesso di Spotify siano state violate e tutti gli altri account siano al sicuro, se fosse una password duplicata utilizzato, potrebbe essere utilizzato per accedere correttamente ad altri account utilizzando tali informazioni, creando un effetto domino. " - Kevin Shahbazi

Prevenire è meglio della cura

È impossibile per i consumatori impedire che i loro dati vengano divulgati da un servizio che utilizzano, poiché non sono nelle loro mani. Il servizio deve avere buone pratiche di sicurezza e una buona igiene delle password. Ma cosa possono fare i consumatori per limitare la loro esposizione a perdite future? Kevin ha ribadito che gli utenti dovrebbero evitare password duplicate e, ove possibile, utilizzare l'autenticazione a due fattori.

"Un altro modo in cui i lettori possono garantire la sicurezza della propria password è utilizzare autenticazione a due fattori (2FA) Cos'è l'autenticazione a due fattori e perché dovresti usarlaL'autenticazione a due fattori (2FA) è un metodo di sicurezza che richiede due diversi modi per dimostrare la tua identità. È comunemente usato nella vita di tutti i giorni. Ad esempio, il pagamento con una carta di credito non richiede solo la carta, ... Leggi di più , dove oltre a una password, gli utenti sono tenuti a fornire un'altra informazione, come un'impronta digitale, un PIN o una domanda di sicurezza che solo loro sarebbero in grado di fornire. " - Kevin Shahbazi

Non sorprende, Kevin raccomanda l'uso di un gestore di password, al fine di archiviare in modo sicuro password complesse. Egli ha detto "un gestore di password Come i gestori di password mantengono le tue password al sicuroAnche le password difficili da decifrare sono difficili da ricordare. Vuoi essere al sicuro? Hai bisogno di un gestore di password. Ecco come funzionano e come ti tengono al sicuro. Leggi di più è un modo semplice per impedire agli hacker di creare scompiglio nella tua vita. Questi crittografano le password in un "vault" sicuro, a cui l'utente può accedere tramite una password principale ". Ha aggiunto che rendono più semplice l'uso di password sicure e complesse.

"Esistono molti gestori di password gratuiti e affidabili. Assicurati di utilizzarne uno rispettabile. Molti di loro fanno molto di più che semplicemente archiviare la tua password, quindi cerca quelli che usano "injection" per inserire le password nei campi corretti, piuttosto che semplicemente copiare e incollare dagli appunti. Questo ti aiuta a evitare di essere attaccato dai keylogger. " - Kevin Shahbazi

Avvolgendo

Kevin, forse giustamente, è turbato dalla lieve risposta di Spotify a centinaia dei loro account utente che vengono spruzzati su Pastebin. Resta da vedere se questa perdita è una tantum o se è indicativa di qualcosa di più grande a venire.

Abbiamo cercato di contattare Spotify per un commento su questa storia, ma non siamo riusciti a farlo. Se riceviamo notizie dalla società, aggiorneremo questo articolo con la sua risposta.

Crediti immagine: Vdovichenko Denis / Shutterstock.com