Hvordan Spotify ble stung, og hvorfor du bør bry deg
Den nyeste Spotify-lekkasjen kan være den merkeligste ennå. Hundrevis av kontoer har blitt sprutet på Pastebin. Disse kontoene er allerede tilgjengelig, med mange som har fått e-postadressen endret. Men ikke bare vet vi hvem som står bak lekkasjen, Spotify er fast, det har ikke blitt hacket. Så hva er egentlig fortsette?
For å finne ut, arrangerte jeg en prat med Kevin Shahbazi, sikkerhetsekspert og administrerende direktør for passordstyringsfirmaet LogMeOnce. Kevin har bygget seg et navn i sikkerhetsbransjen. Han har lansert flere forskjellige infosec-selskaper, hvorav en - Trust Digital, som spesialiserer seg på smartphone-sikkerhet på bedriftsnivå - ble anskaffet av McAfee i 2010.
Kevins ekspertise innen sikkerhetsfeltet er ubestridelig, og jeg ønsket å finne ut hva han gjorde av denne siste datautbrudd. Over en flurry av e-postmeldinger sendt på en tirsdag kveld, grillet jeg ham på hvem som kunne ligge bak lekkasjen, hva var så galt med Spotifys svar, og hva berørte brukere kan gjøre for å beskytte seg.
Lekkens anatomi
Da Ashley Madison-debaclen dukket opp som en overfylt cantaloupe Ashley Madison Leak No Big Deal? Tenk igjen Ashley Madison Lekkasje Ingen Big Deal? Tenk igjen Diskret online datingside Ashley Madison (målrettet primært på utro ektefeller) har blitt hacket. Men dette er et langt mer alvorlig problem enn det som har blitt portrettert i pressen, med betydelige implikasjoner for brukersikkerhet. Les mer, det eksponerte de sordid hemmelighetene til millioner på Dark web. Datadumpen, som målt i gigabytene, opplistet alt fra den biografiske informasjonen til nettstedets registranter, til og med deres nisje seksuelle preferanser. Hvordan sammenligner Spotify-lekkasjen?
“Så langt som hvor mye data som har blitt lekket, har det bare blitt nevnt at en uspesifisert 'hundrevis av kontoer' er blitt kompromittert. Kontoinformasjon som betalingsinformasjon og kredittkortinformasjon ble ikke inkludert i lekkasjen, men e-post, brukernavn, passord, kontotype og tilleggsinformasjon var.” - Kevin Shahbazi
Det er fortsatt ingen informasjon om hvem som sto bak angrepet, selv om det ble utgitt av en bruker med navnet "Drakia12'på Pastebin. Kevin er åpen for muligheten for at dumpet selv ikke er alt det nye, og i stedet kom fra kontoer som allerede hadde blitt lekket ut på Dark Web Journey Into The Hidden Web: En guide for nye forskere Reise inn i det skjulte nettet: En guide For nye forskere Denne håndboken tar deg på en tur gjennom de mange nivåene på den dype weben: databaser og informasjon tilgjengelig i akademiske tidsskrifter. Til slutt kommer vi til Tors porte. Les mer, og går nå inn i en bredere sirkulasjon. Logins for Spotify og andre streaming-nettsteder som Netflix, er tilgjengelige for kjøp på de mørkere delene av Internett, og ifølge en McAfee Labs-rapport sirkuleres disse loggene kontinuerlig av cyberkriminelle når de har blitt kompromittert”.
Kevin antydet også at a “brute force” angrep kan være bak lekkasjen, sier, “En annen mulig kilde [av lekkasjen] er et program som brukes til å "kamme" gjennom passord, eller bare prøve flere forskjellige passordkombinasjoner til den finner den riktige”.
Dette virker lite sannsynlig, siden de fleste tjenester nå begrenser antallet mislykkede påloggingsforsøk en bruker kan gjøre. Det er imidlertid ikke umulig. I 2009 ble Twitter-regnskapene til Rick Sanchez, Bill O'Reilly og Britney Spears blitt kompromittert av hackere, og offensive meldinger ble lagt ut.
Dette angrepet var bare mulig fordi Twitter ikke begrenser innloggingsforsøk, og en administrator hadde et svakt ordbokspassord (det var “lykke”).
Jeg ønsket å vite hvordan denne lekkasjen sammenlignet med andre høyprofillekkasjer, for eksempel Ashley Madison, PlayStation Network og Mate1 lekkasjer. Kevin sa at i motsetning til andre andre bemerkelsesverdige lekkasjer, er Spotify ikke “eie” den. De tar ikke ansvar. Han la heller ikke til, er de “være proaktiv for å beskytte kundens informasjon”. Shahbazi bekymrer seg også om at lekkasjen kan være overturen til noe mye større.
“Ved å publisere en liten utvalg av data kunne påståtte hackere bare ha satt Spotify til en defensiv posisjon. Etter en kort stund, etter at de har melket kontoen, vil de sannsynligvis publisere resten av datadumpen. Hvis det er deres mål, så er det mer pinlig å komme, og ledere kan ende opp med å miste sine stillinger på Spotify.” - Kevin Shahbazi
Hvorfor Spotify?
Kanskje det som er mest forvirrende om Spotify-hack er at det er et så lite sannsynlig mål. Til en cyber-kriminell er lokket av en kompromittert PayPal- eller bankkonto Er Online Banking Safe? For det meste, men her er 5 risikoer du bør vite om, er Online Banking Safe? For det meste, men her er 5 risikoer du bør vite om Det er mye å like om nettbank. Det er praktisk, kan forenkle livet ditt, du kan til og med få bedre besparelser. Men er nettbanken så trygg og trygg som den burde være? Les mer er ubestridelig. Men Spotify er ikke en finansinstitusjon. Det er en musikkwebside. Jeg spurte Kevin hvorfor en hacker kanskje målretter mot det.
“Verdien i å angripe Spotify, eller andre lignende tjenester, varierer fra hacker til hacker. I dette tilfellet synes gjennomsiktighet å være det mest sannsynlige motivet bak den siste lekkasjen, for å vise offentligheten at deres informasjon ikke nødvendigvis er sikker på plattformen, og til slutt forårsaker forlegenhet på merkevaren.” - Kevin Shahbazi
Mange velger å knytte sine Facebook-kontoer med Spotify. Dette forenkler innlogging, og legger også til en sosial dimensjon til tjenesten. Brukerne kan dele sine favorittspor med sine venner, og få anbefalinger.
Kan dette føre til ytterligere smerte for berørte brukere? Potensielt sa Kevin. Spesielt hvis brukeren bruker et duplikat passord.
“Dupliserte passord (eller gjenbruk av et enkelt passord på tvers av ulike tjenester) kan være et potensielt problem. Siden noen kan nå tilgang til hundrevis av Spotify-pålogginger, gir dette dem nøkkelen til andre kontoer og tjenester som bruker det lekkede passordet).” - Kevin Shahbazi
Spotify er svar
Gitt Spotifys høy profil, var det uunngåelig at selskapet til slutt ville oppleve en slags sikkerhetsproblem. Men i dette tilfellet har det vært overraskende nonchalant om alt.
“Mens de tidligere har vært proaktive for å tilbakestille brukerpassord for kontoer som ser ut til å ha hacket, og har sagt at de ofte skanner nettsteder som Pastebin for Spotify-legitimasjon, har de ikke gjort det med den påståtte hack, til tross for hundrevis av Spotify-legitimasjonene som vises online.” - Kevin Shahbazi
Berørte kunder har måttet aktivt nå ut til Spotify for å gjenvinne tilgangen til sine kontoer. Ifølge innlegg på Twitter, og ulike artikler i teknologipressen, har dette ikke vært en enkel oppgave. Dessverre er dette ikke en isolert hendelse for Spotify.
“Spotify har nektet eksistensen av lignende påståtte hacks som angivelig fant sted i november 2015 og igjen dette i løpet av februar. Samlet sett er Spotifys offentlige uttalelser motstridende erfaringene fra sine kunder.” - Kevin Shahbazi
Kevin er ikke sikker på hvorfor Spotify har vært så voldsomt ugjennomsiktig om eksistensen (eller på annen måte) av en hack, eller om det var offer for brukerfeil. Men han bekymrer det “deres mangel på gjennomsiktighet er bare vondt deres merkevare, omdømme og mest av alt deres kunder”.
Hva kan berørte brukere gjøre?
Bokstavelig talt har hundrevis av brukere blitt påvirket av lekkasjen. Det er en veldig reell mulighet for at flere kontoer har blitt kompromittert, men har ikke blitt lekket ennå. Jeg spurte Kevin hvilke tiltak Spotify brukere burde ta for å beskytte seg selv.
“Uansett om det er hacket eller ikke, bør alle Spotify-brukere være oppmerksom på deres kontoer. For de som har blitt skadet, bør de umiddelbart endre innloggingsinformasjonen for alle kontoer som benyttet det samme passordet, samt overvåke eventuelle finansielle kontoer som kan knyttes til Spotify. De må også kontakte Spotify for å gi dem beskjed om problemet med kontoen sin samt å tilbakestille den.” - Kevin Shahbazi
Kevin la til at de som var heldige nok til ikke å bli med i datadumpen, bør også ta forholdsregler. Han anbefaler at alle brukere tilbakestiller passordene sine, og på alle enheter der Spotify er installert, logger brukerne ut og logger seg på igjen. Han understreket også farene ved å stole på dupliserte passord.
“Dette er enda et tilfelle der dupliserte passord kommer tilbake for å skade de som leter etter enkel tilgang til flere kontoer. Selv om det kanskje bare virker som Spotifys påloggingsinformasjon ble hacket og alle andre kontoer er trygge, hvis et duplikat passord ble brukt, kunne det brukes til å logge inn på andre kontoer ved å bruke denne informasjonen, og skape en dominoeffekt.” - Kevin Shahbazi
Forebygging er bedre enn kur
Det er umulig for forbrukerne å forhindre at dataene blir lekket av en tjeneste de bruker, siden det ikke er i deres hender. Tjenesten må ha god sikkerhetspraksis og god passordhygiene. Men hva kan forbrukerne gjøre for å begrense deres eksponering for fremtidige lekkasjer? Kevin re-understreket at brukere bør unngå dupliserte passord, og hvor det er mulig, bruk to-faktor autentisering.
“En annen måte at leserne kan sikre passordets sikkerhet er sterk, er ved å benytte tofaktorautentisering (2FA). Hva er tofaktorautentisering, og hvorfor du bør bruke det. Hva er tofaktorautentisering, og hvorfor du bør bruke det To-faktor Autentisering (2FA) er en sikkerhetsmetode som krever to forskjellige måter å bevise din identitet på. Det brukes vanligvis i hverdagen. For eksempel å betale med et kredittkort krever ikke bare kortet, ... Les mer, hvor i tillegg til et passord, er brukere pålagt å gi et annet stykke informasjon, som et fingeravtrykk, PIN eller sikkerhetsspørsmål, at det bare ville være kunne gi.” - Kevin Shahbazi
Ikke overraskende, anbefaler Kevin bruk av en passordbehandling, for å kunne lagre komplekse passord sikkert. Han sa “en passordadministrator Hvordan passordadministratorer holder passordene dine trygge Hvordan passordadministratorer holder passordene dine? Passord som er vanskelig å knekke, er også vanskelig å huske. Vil du være trygg? Du trenger en passordbehandling. Slik fungerer de og hvordan de holder deg trygge. Les mer er en enkel måte å hindre hackere fra å ødelegge livet ditt. Disse krypterer passordene i et sikkert "hvelv", som brukeren kan få tilgang til gjennom ett hovedpassord.” Han la til at disse gjør det enklere å bruke sikre, komplekse passord.
“Det er mange gratis, pålitelige passordforvaltere. Pass på at du bruker en anerkjent en. Mange av dem gjør mer enn bare å lagre passordet ditt, så se etter de som bruker “injeksjon” å sette inn passord i de riktige feltene, i stedet for å bare kopiere og lime inn fra utklippstavlen. Dette hjelper deg å unngå å bli angrepet via keyloggers.” - Kevin Shahbazi
Wrapping Up
Kevin, kanskje med rette, er forstyrret av det milde svaret fra Spotify til hundrevis av deres brukerkontoer blir sprøytet på Pastebin. Hvorvidt denne lekkasjen er engangsløs eller hvis den er indikativ på noe større å komme, er fortsatt å bli sett.
Vi prøvde å komme i kontakt med Spotify for kommentar til denne historien, men kunne ikke gjøre det. Hvis vi hører tilbake fra selskapet, oppdaterer vi denne artikkelen med sitt svar.
Image Credits: Vdovichenko Denis / Shutterstock.com
Utforsk mer om: Sikkerhetsbrudd, Spotify.