Reklāma
jaunākā Spotify noplūde varētu būt dīvainākais pagaidām. Pastebinā ir izspiesti simtiem kontu. Šiem kontiem jau ir piekļūt, un daudziem ir mainījušies viņu e-pasti. Bet ne tikai mēs nezinām, kas ir aiz noplūdes, Spotify ir pārliecināts, ka tas vēl nav uzlauzts. Tātad, kas ir tiešām notiek?
Lai to uzzinātu, es noorganizēju tērzēšanu ar Kevinu Šahbazi, drošības ekspertu un paroļu pārvaldības firmas izpilddirektoru LogMeOnce. Kevins sevi ir uzbūvējis vārdam drošības nozarē. Viņš ir izveidojis vairākus dažādus infosec uzņēmumus, no kuriem viens - Trust Digital, kas specializējas uzņēmuma līmeņa viedtālruņu drošībā - bija McAfee iegādājās 2010. gadā.
Kevina kompetence drošības jomā ir nenoliedzama, un es gribēju uzzināt, ko viņš ir izdarījis no šī jaunākā datu pārkāpuma. Vairāk nekā otrdienas vakarā nosūtītu e-pasta ziņojumu laikā es viņu grilēju par to, kurš varētu būt aiz noplūdes, kas bija tik nepareizi ar Spotify atbildi un ko lietotāji varēja darīt, lai pasargātu sevi.
Noplūdes anatomija
Kad Ešlija Madisona sajukums uzlēca kā pārgatavojusies kantalūpa Ešlija Madisona noplūde Vai nav lielas darīšanas? Padomā vēlreizDiskrēta tiešsaistes iepazīšanās vietne Ešlija Madisona (kas galvenokārt paredzēta krāpniekiem). Tomēr šī ir daudz nopietnāka problēma, nekā tika parādīts presē, un tai ir ievērojama ietekme uz lietotāju drošību. Lasīt vairāk , tas Dark web atklāja miljonu dīvainos noslēpumus. Datu kopums, kas tika noteikts gigabaitos, uzskaitīja visu, sākot no vietnes reģistrētāju biogrāfiskās informācijas un beidzot ar viņu nišas seksuālajām vēlmēm. Kā Spotify noplūde tiek salīdzināta?
“Cik daudz datu ir noplūdis, ir tikai minēts, ka ir apdraudēta nenoteiktu kontu“ simtiem ”. Konta informācija, piemēram, maksājuma informācija un kredītkartes informācija, netika ietverta, bet e-pasti, lietotājvārdi, paroles, konta tips un papildu informācija par kontu bija. ” - Kevins Šahbazi
Joprojām nav informācijas par to, kas ir aiz uzbrukuma, lai gan to lietotājs publicēja ar vārdu “Drakia12'Uz Pastebina. Kevins ir atvērts iespējai, ka pats izgāzējs varētu nebūt tik jauns, un tā vietā tas nāca no kontiem, kas jau bija noplūduši tumšais tīmeklis Ceļojums paslēptajā tīmeklī: ceļvedis jauniem pētniekiemŠī rokasgrāmata vedīs jūs uz ekskursiju pa daudzajiem dziļā tīkla līmeņiem: datu bāzēm un informāciju, kas pieejama akadēmiskajos žurnālos. Visbeidzot, mēs nonāksim pie Tor vārtiem. Lasīt vairāk , un tagad nonāk plašākā apritē. Pieteikšanās Spotify un citām straumēšanas vietnēm, piemēram, Netflix, ir nopērkamas interneta slepkavākajās daļās, un saskaņā ar McAfee Labs ziņojums, šos pieteikšanās datus nepārtraukti izplata kibernoziedznieki, tiklīdz viņiem ir izdarīts kompromitējums ”.
Kevins arī norādīja, ka aiz noplūdes varētu būt “brutāla spēka” uzbrukums, sakot: “Vēl viens [noplūdes] iespējamais avots ir programma, ko izmanto paroļu “ķemmēšanai” vai tikai mēģināt vairākas dažādas paroļu kombinācijas, līdz tā atrod pareizo viens ”.
Tas šķiet maz ticams, jo vairums pakalpojumu tagad ierobežo neveiksmīgu pieteikšanās mēģinājumu skaitu, ko lietotājs var veikt. Tomēr tas nav neiespējami. 2009. gadā Rika Sančeza, Bila O’Reilija un Britnijas Spīrsas Twitter konti tika kompromitēti hakeri, un tika nosūtīti aizskaroši ziņojumi.
Šis uzbrukums bija iespējams tikai tāpēc, ka tajā laikā Twitter neierobežoja pieteikšanās mēģinājumus, un vienam administratoram bija vāja vārdnīcas parole (tas bija “Laime”).
Es gribēju zināt, kā šī noplūde salīdzinājumā ar citām augsta profila noplūdēm, piemēram, Ešliju Madisonu, PlayStation Network un Mate1 noplūdēm. Kevins sacīja, ka atšķirībā no citiem ievērojamiem noplūdes gadījumiem Spotify tam nepieder. Viņi neuzņemas atbildību. Viņš arī piebilda, ka viņi "nav aktīvi, aizsargājot klienta informāciju". Šahbazi arī uztraucas, ka noplūde varētu būt kaut kas daudz lielāka apdzīšana.
“Publicējot nelielu datu paraugu, šķietami hakeri, iespējams, vienkārši vēlējās ievietot Spotify aizsardzības pozīcijā. Pēc neilga laika, kad viņi būs slaukuši kontu, viņi, visticamāk, publicēs pārējo datu kopu. Ja tas ir viņu mērķis, tad ir jāuzņem vairāk mulsuma, un vadītāji var galu galā zaudēt savus amatus Spotify. ” - Kevins Šahbazi
Kāpēc Spotify?
Varbūt tas, kas visvairāk mulsina par Spotify kapāt, ir tas, ka tas ir tik maz ticams mērķis. Kibernoziedzniekam - kompromitēta PayPal vai tiešsaistes bankas konts Vai internetbanka ir droša? Galvenokārt, bet šeit ir 5 riski, par kuriem jums vajadzētu zinātIr daudz kas, kas patīk internetbankai. Tas ir ērti, var vienkāršot jūsu dzīvi, iespējams, jūs pat iegūsit labākas uzkrājumu likmes. Bet vai tiešsaistes banku darbība ir tik droša, cik tai vajadzētu būt? Lasīt vairāk ir nenoliedzams. Bet Spotify nav finanšu iestāde. Tā ir mūzikas vietne. Es jautāju Kevinam, kāpēc hakeris varētu to mērķēt.
“Uzbrukuma Spotify vai citu līdzīgu pakalpojumu vērtība atšķiras no hakeriem līdz hakeriem. Šajā gadījumā pārredzamība, šķiet, ir visticamākais nesenās noplūdes motīvs, lai parādītu sabiedrībai, ka viņu informācijai nav obligāti jābūt nodrošinātai ar platformu, un tas galu galā rada satraukumu zīmolam. ” - Kevins Šahbazi
Daudzi cilvēki izvēlas savus Facebook kontus saistīt ar Spotify. Tas vienkāršo pieteikšanos un pakalpojumam arī pievieno sociālo dimensiju. Lietotāji var dalīties ar draugiem iecienītākajos ierakstos un saņemt ieteikumus.
Vai tas varētu radīt papildu sāpes ietekmētajiem lietotājiem? Potenciāli sacīja Kevins. It īpaši, ja lietotājs izmanto paroles dublikātu.
“Paroļu dublēšanās (vai vienas paroles atkārtota izmantošana dažādos pakalpojumos) varētu būt potenciāla problēma. Tā kā tagad ikviens var piekļūt simtiem Spotify pieteikšanās gadījumu, tas viņiem piešķir atslēgu visiem citiem kontiem un pakalpojumiem, kas izmanto noplūdušo paroli). ” - Kevins Šahbazi
Spotify's Response
Ņemot vērā Spotify augsto reputāciju, bija neizbēgami, ka uzņēmumam galu galā radīsies kāda veida drošības problēma. Bet šajā gadījumā pārsteidzoši viss ir bijis nepatīkams.
“Kaut arī [pagātnē] viņi ir proaktīvi atiestatījuši lietotāju paroles kontiem, kuri, šķiet, ir uzlauzti, un ir teikuši, ka bieži skenē vietnes, piemēram, Pastebin Spotify akreditācijas datus, viņi to nav izdarījuši ar visjaunāko iespējamo uzlauzšanu, neskatoties uz simtiem Spotify akreditācijas datu parādīšanos tiešsaistē. ” - Kevins Šahbazi
Ietekmētos klientus nācās aktīvi sazināties ar Spotify, lai atgūtu piekļuvi saviem kontiem. Saskaņā ar ierakstiem Twitter un dažādiem rakstiem tehnoloģiju presē, tas nav bijis viegls uzdevums. Diemžēl Spotify tas nav atsevišķs notikums.
“Spotify ir noliegusi līdzīgu iespējamo haku esamību, kas it kā notika 2015. gada novembrī un atkal pagājušā gada februārī. Kopumā Spotify publiskie paziņojumi ir pretrunā ar viņu klientu pieredzi. ” - Kevins Šahbazi
Kevins nav pārliecināts, kāpēc Spotify ir tik ļoti necaurspīdīgs par haka esamību (vai kā citādi) vai par to, vai tas ir bijis lietotāju kļūdu upuris. Tomēr viņš uztraucas, ka “pārredzamības trūkums tikai kaitē viņu zīmolam, reputācijai un, pats galvenais, klientiem”.
Ko var ietekmēt ietekmētie lietotāji?
Burtiski simtiem lietotāju ir ietekmējuši noplūde. Pastāv ļoti reāla iespēja, ka ir apdraudēta vairāk kontu, taču tas vēl nav izdarīts. Es jautāju Kevinam, kādi pasākumi Spotify lietotājiem jāveic, lai pasargātu sevi.
“Neatkarīgi no tā, vai uzlauzts vai nē, visiem Spotify lietotājiem ir jāzina savi konti. Tiem, kuru informācija ir apdraudēta, viņiem nekavējoties jāmaina sava pieteikšanās informācija kontus, kuros izmantota tā pati parole, kā arī uzrauga visus finanšu kontus, kas var būt saistīti Spotify. Viņiem arī jāsazinās ar Spotify, lai viņi informētu par problēmu ar savu kontu, kā arī to atiestatītu. ” - Kevins Šahbazi
Kevins piebilda, ka arī tiem, kuriem bija paveicies, ka viņi netika iekļauti datu kopā, jāveic piesardzības pasākumi. Viņš iesaka visiem lietotājiem atiestatīt paroles un visās ierīcēs, kurās ir instalēta Spotify, lietotāji izrakstās un pēc tam atkal piesakās. Viņš arī uzsvēra, cik bīstama ir paļaušanās uz dublētām parolēm.
“Šis ir vēl viens gadījums, kad paroļu dublikāti tiek novirzīti atpakaļ, lai kaitētu tiem, kuri meklē ērtu piekļuvi vairākiem kontiem. Lai gan var šķist, ka tika uzlauzta Spotify pieteikuminformācija un visi pārējie konti ir droši, ja paroles dublikāts bija to var izmantot, lai veiksmīgi pieteiktos citos kontos, izmantojot šo informāciju, radot domino efektu. ” - Kevins Šahbazi
Profilakse ir labāka par ārstēšanu
Patērētājiem nav iespējams novērst viņu datu noplūdi no pakalpojuma, kuru viņi izmanto, jo tas nav viņu rokās. Pakalpojumam ir jābūt labai drošības praksei un labai paroles higiēnai. Bet ko patērētāji var darīt, lai ierobežotu nākotnes noplūdes risku? Kevins atkārtoti uzsvēra, ka lietotājiem jāizvairās no paroļu dublēšanās un, ja iespējams, jāizmanto divu faktoru autentifikācija.
“Cits veids, kā lasītāji var nodrošināt savu paroļu drošību, ir izmantošana divu faktoru autentifikācija (2FA) Kas ir divu faktoru autentifikācija un kāpēc jums tā būtu jāizmantoDivfaktoru autentifikācija (2FA) ir drošības metode, kurai nepieciešami divi dažādi jūsu identitātes pierādīšanas veidi. To parasti izmanto ikdienas dzīvē. Piemēram, norēķinoties ar kredītkarti, nepieciešama ne tikai karte, ... Lasīt vairāk , kur lietotājiem papildus parolei ir jāsniedz cita informācija, piemēram, pirkstu nospiedumu, PIN kodu vai drošības jautājumu, ko varētu sniegt tikai viņi. ” - Kevins Šahbazi
Nepārsteidzoši, ka Kevins iesaka izmantot paroļu pārvaldnieku, lai droši glabātu sarežģītas paroles. Viņš teica "paroļu pārvaldnieks Kā paroļu pārvaldnieki aizsargā jūsu parolesParoles, kuras ir grūti uzlauzt, ir arī grūti atcerēties. Vai vēlaties būt drošs? Jums nepieciešams paroļu pārvaldnieks. Lūk, kā viņi strādā un kā jūs aizsargā. Lasīt vairāk ir vienkāršs veids, kā novērst hakeru postījumus par jūsu dzīvi. Šīs šifrētās paroles atrodas drošā “glabātuvē”, kurai lietotājs var piekļūt, izmantojot vienu galveno paroli. ” Viņš piebilda, ka tie atvieglo drošu, sarežģītu paroļu izmantošanu.
“Ir daudz bezmaksas, uzticamu paroļu pārvaldnieku. Pārliecinieties, vai izmantojat cienījamu. Daudzi no viņiem dara daudz vairāk, kā tikai vienkārši saglabā jūsu paroli, tāpēc meklējiet tos, kas izmanto “iesmidzināšanu”, lai ievietotu paroles pareizajos laukos, nevis tikai kopētu un ielīmētu no starpliktuves. Tas palīdz jums izvairīties no uzbrukumiem, izmantojot keyloggers. ” - Kevins Šahbazi
Iesaiņošana
Kevinu, iespējams, pamatoti uztrauc Spotify vieglā reakcija uz simtiem viņu lietotāju kontu, kas tiek izsmidzināti Pastebinā. Joprojām ir jāpārbauda, vai šī noplūde ir vienreizēja vai ja tā norāda uz kaut ko lielāku.
Mēs mēģinājām sazināties ar Spotify, lai komentētu šo stāstu, bet mēs to nevarējām izdarīt. Ja mēs uzklausīsim informāciju no uzņēmuma, mēs atjaunināsim šo rakstu ar tā atbildi.
Attēlu kredīti: Vdovičenko Deniss / Shutterstock.com
Metjū Hjūss ir programmatūras izstrādātājs un rakstnieks no Liverpūles, Anglijas. Viņš reti atrodams bez tasītes spēcīgas melnas kafijas rokā un absolūti dievina savu Macbook Pro un kameru. Jūs varat lasīt viņa emuāru vietnē http://www.matthewhughes.co.uk un seko viņam līdzi twitter vietnē @matthewhughes.
