Hur Spotify fick stung, och varför du bör bry dig
Den senaste Spotify läckan kan vara den märkligaste än. Hundratals konton har stänkt på Pastebin. Dessa konton har redan nåts, med många som har fått sina e-postmeddelanden ändrade. Men inte bara vet vi vem som står bakom läckan, Spotify är fast att det inte har hackats. Så vad är verkligen pågår?
För att få reda på, ordnade jag en chatt med Kevin Shahbazi, säkerhetsexpert och VD för lösenordshanteringsföretaget LogMeOnce. Kevin har byggt sig ett namn i säkerhetsbranschen. Han har lanserat flera olika infosecföretag, varav en - Trust Digital, som specialiserar sig på smartphone-säkerhet på företagsnivå - förvärvades av McAfee 2010.
Kevins expertis inom säkerhetsfältet är obestridligt, och jag ville få reda på vad han gjorde av den senaste dataöverträdelsen. Över en flurry av e-postmeddelanden skickade på en tisdag kväll, grillade jag honom på vem som kunde vara bakom läckan, vad var så fel med Spotify svar och vad drabbade användare kan göra för att skydda sig.
Lekans anatomi
När Ashley Madison debacle popped som en överdriven cantaloupe Ashley Madison Leka No Big Deal? Tänk igen Ashley Madison läcka ingen stor överenskommelse? Tänk igen Diskret online-datingsida Ashley Madison (riktade främst till otrogen makar) har hackats. Men det här är en mycket allvarligare fråga än vad som har skildrats i pressen, med betydande konsekvenser för användarsäkerheten. Läs mer, det exponerade de sordiga hemligheterna av miljoner på Dark webben. Datadumpen, som mättes i gigabyte, listade allt från biografinformationen hos webbplatsens registranter, till och med deras nisch-sexuella preferenser. Hur jämför Spotify läckan?
“När det gäller hur mycket data som läckts har det bara nämnts att ospecificerade hundratals konton har äventyras. Kontoinformation som betalningsinformation och kreditkortsinformation inkluderades inte i läckan, men e-post, användarnamn, lösenord, kontotyp och ytterligare kontouppgifter var.” - Kevin Shahbazi
Det finns fortfarande ingen information om vem som stod bakom attacken, även om den publicerades av en användare med namnet "Drakia12"på pastebin. Kevin är öppen för möjligheten att dumpningen själv inte är allt så ny och istället kom från konton som redan hade läckt ut på Dark Web Journey Into The Hidden Web: En guide för ny forskares resa till det dolda nätet: En guide För nya forskare Den här handboken tar dig på en turné genom de många nivåerna på den djupa webben: databaser och information som finns i akademiska tidskrifter. Slutligen kommer vi fram till Tors portar. Läs mer, och går nu in i en större cirkulation. Logins för Spotify och andra strömmande webbplatser som Netflix är tillgängliga för att köpa på de mörkare delarna av Internet och enligt en McAfee Labs-rapport cirkuleras dessa inloggningar kontinuerligt av cyberkriminella när de har äventyras”.
Kevin antydde också att a “råstyrka” attack kan vara bakom läckan och säga, “En annan möjlig källa [av läckan] är ett program som används för att "kamma" genom lösenord, eller bara försöka flera olika lösenordskombinationer tills den hittar den rätta”.
Det verkar osannolikt, eftersom de flesta tjänster nu begränsar antalet misslyckade inloggningsförsök som en användare kan göra. Det är dock inte omöjligt. Under 2009 har Twitter-kontona för Rick Sanchez, Bill O'Reilly och Britney Spears äventyras av hackare, och offensiva meddelanden publicerades.
Den här attacken var bara möjlig, eftersom Twitter inte begränsade inloggningsförsök, och en administratör hade ett svagt ordbokslösenord (det var “lycka”).
Jag ville veta hur detta läcker jämfört med andra högprofil läckage, som Ashley Madison, PlayStation Network och Mate1 läckor. Kevin sa att i motsats till andra andra anmärkningsvärda läckor är Spotify inte “ägande” Det. De tar inte ansvar. Inte heller tillade han att de är “vara proaktiv för att skydda kundens information”. Shahbazi oroar sig också för att läckaget kan vara övertagandet av något mycket större.
“Genom att publicera ett litet urval data kan påstådda hackare helt enkelt ha satt Spotify i ett defensivt läge. Sedan efter en kort stund, efter att de har mjölkat kontot, kommer de sannolikt att publicera resten av datadumpen. Om det är deras mål, då kommer mer pinsamhet att komma, och chefer kan sluta förlora sina positioner på Spotify.” - Kevin Shahbazi
Varför Spotify?
Kanske är det som är mest förbryllande om Spotify-hacket att det är ett så osannolikt mål. Till en cyber-brottsling är locket på ett kompromissat PayPal- eller bankkonto Är Online Banking Safe? För det mesta, men här är 5 risker du borde veta om är online bank säker? Mestadels, men här är 5 risker du borde veta om det finns mycket att tycka om online banking. Det är bekvämt, kan förenkla ditt liv, du kan till och med få bättre sparräntor. Men är webbbanken lika säker som det borde vara? Läs mer är obestridligt. Men Spotify är inte en finansinstitut. Det är en musikwebbplats. Jag frågade Kevin varför en hacker skulle kunna rikta sig mot det.
“Värdet i Attacking Spotify eller andra liknande tjänster varierar från hacker till hacker. I det här fallet verkar insyn vara det mest sannolika motivet bakom den senaste läckan, för att visa allmänheten att deras information inte nödvändigtvis är säker på plattformen och i slutändan orsakar skam för varumärket.” - Kevin Shahbazi
Många väljer att länka sina Facebook-konton med Spotify. Detta förenklar inloggning och lägger också till en social dimension till tjänsten. Användare kan dela sina favoritspår med sina vänner och få rekommendationer.
Kan det leda till ytterligare smärta för drabbade användare? Potentiellt, sade Kevin. Speciellt om användaren använder ett dubbelt lösenord.
“Duplicera lösenord (eller återanvända ett enda lösenord över olika tjänster) kan vara ett potentiellt problem. Eftersom någon nu kan komma åt hundratals Spotify-inloggningar, ger den dem nyckeln till andra konton och tjänster som använder det läckta lösenordet).” - Kevin Shahbazi
Spotify svar
Med tanke på Spotifys höga profil var det oundvikligt att företaget i slutändan skulle uppleva någon form av säkerhetsproblem. Men i det här fallet har det varit överraskande nonchalant om allt.
“Medan de tidigare har varit proaktiva när de återställer användarlösenord för konton som verkar hackade och har sagt att de ofta skannar webbplatser som Pastebin för Spotify-uppgifter, har de inte gjort det med det senaste påstådda hack, trots hundratals av Spotify-referenser som visas online.” - Kevin Shahbazi
Intresserade kunder har varit tvungna att aktivt nå ut till Spotify för att få tillgång till sina konton. Enligt inlägg på Twitter och olika artiklar i teknikpressen har det inte varit en lätt uppgift. Tyvärr är detta inte en isolerad händelse för Spotify.
“Spotify har förnekat förekomsten av liknande påstådda hackar som enligt uppgift ägde rum i november 2015 och igen denna gång i februari. Sammantaget strider Spotifys offentliga uttalanden mot sina kunders erfarenheter.” - Kevin Shahbazi
Kevin är inte säker på varför Spotify har varit så starkt ogenomskinlig om att det finns ett hack, eller om det var offer för användarfel. Men han oroar det “deras brist på öppenhet skadar bara deras varumärke, rykte och framför allt sina kunder”.
Vad kan berörda användare göra?
Bokstavligen har hundratals användare drabbats av läckaget. Det finns en mycket verklig möjlighet att fler konton har äventyras, men har inte blivit läckta än. Jag frågade Kevin vilka åtgärder Spotify användare ska ta för att skydda sig.
“Oavsett hackade eller inte, bör alla Spotify-användare vara medvetna om sina konton. För dem vars information har äventyras bör de omedelbart ändra sin inloggningsinformation för alla konton som använde samma lösenord, samt övervaka eventuella finansiella konton som kan kopplas till Spotify. De måste också kontakta Spotify för att låta dem få veta om problemet med deras konto samt att återställa det.” - Kevin Shahbazi
Kevin tillade att de som var lyckliga att inte vara med i datadumpen bör också vidta försiktighetsåtgärder. Han rekommenderar att alla användare återställer sina lösenord, och på alla enheter där Spotify är installerat, loggar användarna ut och loggar in igen. Han betonade också farorna med att förlita sig på dubbla lösenord.
“Detta är ett annat fall där dubbla lösenord återkommer för att skada dem som letar efter enkel tillgång till flera konton. Även om det kanske bara verkar som Spotifys inloggningsinformation hackades och alla andra konton är säkra, om ett duplikat lösenord användes kan det användas för att logga in på andra konton med hjälp av den informationen, skapa en dominoeffekt.” - Kevin Shahbazi
Förebyggande är bättre än botemedel
Det är omöjligt för konsumenterna att förhindra att deras data läckas av en tjänst de använder, eftersom det inte finns i deras händer. Tjänsten måste ha god säkerhetspraxis och god löshygien. Men vad kan konsumenter göra för att begränsa exponeringen för framtida läckage? Kevin betonade vidare att användarna borde undvika dubbla lösenord och, om möjligt, använda tvåfaktors autentisering.
“Ett annat sätt att läsare kan försäkra sig om att lösenordsäkerheten är stark är att använda tvåfaktorautentisering (2FA) Vad är tvåfaktorautentisering och varför du borde använda det Vad är tvåfaktorautentisering och varför du ska använda den Tvåfaktorn autentisering (2FA) är en säkerhetsmetod som kräver två olika sätt att bevisa din identitet. Det används ofta i vardagen. För att till exempel betala med ett kreditkort krävs inte bara kortet, ... Läs mer, där förutom ett lösenord måste användarna tillhandahålla en annan information, som ett fingeravtryck, en PIN-kod eller en säkerhetsfråga, att bara de skulle vara kunna tillhandahålla.” - Kevin Shahbazi
Inte överraskande rekommenderar Kevin användningen av en lösenordshanterare för att säkert lagra komplexa lösenord. Han sa “en lösenordshanterare Hur lösenordshanterare håller dina lösenord säkra Hur lösenordshanterare håller dina lösenord Säkra lösenord som är svåra att spricka är också svåra att komma ihåg. Vill du vara säker? Du behöver en lösenordshanterare. Så här fungerar de och hur de håller dig trygg. Läs mer är ett enkelt sätt att förhindra hackare från att göra kaos på ditt liv. Dessa krypterar lösenord i en säker "valv", som användaren kan komma åt via ett huvudlösenord.” Han tillade att dessa gör det enklare att använda säkra, komplexa lösenord.
“Det finns många gratis, pålitliga lösenordshanterare. Se till att du använder en ansedd en. Många av dem gör mer än bara lagra ditt lösenord, så leta efter dem som använder “injektion” för att infoga lösenord i rätt fält istället för att bara kopiera och klistra in från urklippet. Detta hjälper dig att undvika att bli attackerad via keyloggers.” - Kevin Shahbazi
Avslutar
Kevin, kanske med rätta, störs av det milda svaret från Spotify till hundratals av sina användarkonton som sprutas på Pastebin. Oavsett om denna läcka är en engång eller om det är en indikation på någonting större att komma, återstår att ses.
Vi försökte komma i kontakt med Spotify för kommentar till den här historien, men kunde inte göra det. Om vi hörs tillbaka från företaget uppdaterar vi den här artikeln med sitt svar.
Bildkrediter: Vdovichenko Denis / Shutterstock.com
Utforska mer om: Säkerhetsbrott, Spotify.