Реклама
Тхе најновији Спотифи цурење можда је најчуднија до сада. Стотине рачуна је пуштено на Пастебин. Овим рачунима је већ приступљено, а многима је промењена адреса е-поште. Али не само да не знамо ко стоји иза цурења, Спотифи је неодлучан да није хакован. Па шта је стварно догађа?
Да бих то сазнао, договорио сам разговор са Кевином Схахбазијем, стручњаком за сигурност и извршним директором фирме за управљање лозинкама ЛогМеОнце. Кевин је себи изградио име у безбедносној индустрији. Основао је неколико различитих инфосец компанија, од којих је једна - Труст Дигитал, која се специјализовала за безбедност паметних телефона на нивоу предузећа. купио МцАфее 2010. године.
Кевиново знање у области безбедности је неспорно и желео сам да откријем шта је направио од овог последњег кршења података. Преко налета е-маила послатих у уторак увече, указао сам му се ко можда стоји иза цурења, шта је то тако погрешно у одговору Спотифија и шта погођени корисници могу учинити да се заштите.
Анатомија цурења
Кад је Асхлеи Мадисон дебакл искочио попут презреле канталопе Асхлеи Мадисон Леак нема велике понуде? Размисли поновоХакирана је дискретна веб локација за упознавање Асхлеи Мадисон (усмерена пре свега на варање супружника). Међутим, ово је далеко озбиљније питање него што је приказано у штампи, са знатним последицама на безбедност корисника. Опширније , разоткрио је суморне тајне милиона на Мрачном вебу. Отпад података, који се мери у гигабајтима, набрајао је све, од биографских података регистраната сајта, па чак и до њихових сексуалних склоности према ниши. Како се успоређује цурење Спотифија?
„Што се тиче података колико је процурило, само се спомиње да је угрожена неодређена„ стотина “налога. Подаци о рачуну попут података о плаћању и података о кредитним картицама нису укључени у цурење, али е-поруке, корисничка имена, лозинке, врста рачуна и додатне информације о рачуну су биле. " - Кевине Схахбази
Још увек нема информација о томе ко стоји иза напада, мада га је корисник објавио под називом „Дракиа12'На Пастебину. Кевин је отворен за могућност да сам депониј можда и није толико нов, и уместо тога је дошао са рачуна који су већ процурили на Мрачни Веб Путовање у скривени веб: Водич за нове истраживачеОвај приручник води вас у обилазак многих нивоа дубоког веба: базе података и информација доступних у академским часописима. Коначно ћемо стићи до Ториних врата. Опширније , а сада улазе у шири тираж. Пријаве за Спотифи и друге странице за стриминг попут Нетфлика доступне су за куповину на мрачнијим деловима Интернета, а према извештај компаније МцАфее Лабс, цибер-криминалци континуирано циркулишу ове податке након што су компромитовани “.
Кевин је такође наговестио да би иза цурења могао бити напад „бруталне силе“, рекавши, „Други могући извор [цурења] је програм који се користи за 'чешљање' лозинкама или само покушавање више различитих комбинација лозинки док не утврди да је тачна једно".
То се чини мало вероватним, будући да већина сервиса сада ограничава количину неуспелих покушаја пријаве који корисник може извршити. Међутим, то није немогуће. 2009. године на Твиттер-овим рачунима Рицк Санцхез-а, Била О'Реилли-ја и Бритнеи Спеарс хакери су били угрожении објављене су увредљиве поруке.
Овај напад је био могућ само зато што у то време Твиттер није ограничавао покушаје пријаве, а један администратор имао је слабу лозинку за речник (било је "Срећа").
Желео сам да знам како ово пропуштање у поређењу са другим високим пропустима, као што су Асхлеи Мадисон, ПлаиСтатион Нетворк и Мате1. Кевин је рекао да за разлику од других значајних пропуштања, Спотифи га не „поседује“. Не преузимају одговорност. Такође, додао је, да ли су "активни у заштити података својих купаца". Схахбази се такође брине да би цурење могло бити замишљање нечег много већег.
„Објављивањем малог узорка података наводни су хакери можда једноставно жељели ставити Спотифи у одбрамбену позицију. Након краћег времена, након што наплате рачун, вероватно ће објавити остатак смећа података. Ако им је то циљ, услиједиће још већа срамота, а руководитељи би могли изгубити позиције на Спотифиу. " - Кевин Схахбази
Зашто Спотифи?
Можда је оно што највише збуњује у вези са хакирањем Спотифи-а да је то тако мало вероватна мета. За цибер-криминалца, лаж компромитованог ПаиПал-а или Интернет банкарски рачун Да ли је онлајн банкарство сигурно? Углавном, али ево 5 ризика о којима бисте требали знатиПуно се воли код интернет банкарства. То је згодно, може вам поједноставити живот, можда ћете добити и веће стопе уштеде. Али, је ли интернетско банкарство једнако сигурно и сигурно? Опширније је неспорно. Али Спотифи није финансијска институција. То је музичка веб локација. Питао сам Кевина зашто би хакер могао да га циља.
„Вриједност напада на Спотифи или друге сличне услуге варира од хакера до хакера. У овом случају, чини се да је транспарентност највјероватнији мотив иза недавног цурења, како би се јавности показало да јесу информације нису нужно сигурне уз платформу и, на крају, узрокују срамоту за марку. " - Кевине Схахбази
Многи људи одлучују да повежу своје Фацебоок налоге са Спотифи-ом. Ово поједностављује пријављивање и додаје друштвену димензију услузи. Корисници могу да поделе своје омиљене нумере са својим пријатељима и добију препоруке.
Да ли то може довести до даље боли код погођених корисника? Потенцијално, рекао је Кевин. Нарочито ако корисник користи дупликану лозинку.
„Дуплиране лозинке (или поновна употреба једне лозинке у различитим сервисима) могу бити потенцијални проблем. Будући да сада свако може приступити стотинама пријава Спотифи-а, то им даје кључ за било који други налог и услугу који користе процурјену лозинку). " - Кевин Схахбази
Спотифијев одговор
С обзиром на високи углед Спотифија, било је неизбежно да ће компанија на крају доживети неку врсту безбедносних проблема. Али у овом случају, било је изненађујуће ноншалантно у свему.
„Иако су [у прошлости] били проактивни у ресетовању корисничких лозинки за рачуне за које се чини да су хаковани и рекли су да често скенирају веб локације као Пастебин за Спотифи акредитиве, то нису учинили са најновијим наводним хаком, упркос стотинама активација Спотифи који се појављују на мрежи. " - Кевине Схахбази
Повезани купци морали су активно да се обрате Спотифију како би добили приступ својим рачунима. Према објавама на Твиттеру и различитим чланцима у технолошкој штампи, то није био лак задатак. Нажалост, за Спотифи ово није изолован догађај.
„Спотифи је негирао постојање сличних наводних хакова који су се наводно догодили у новембру 2015. и поново овог фебруара. Све у свему, Спотифијеве јавне изјаве су у супротности са искуствима њихових купаца. " - Кевин Схахбази
Кевин није сигуран зашто је Спотифи толико оштро нејасан о постојању (или на неки други начин) хака или је ли жртва грешке корисника. Међутим, он брине да "њихов недостатак транспарентности само штети њиховом бренду, репутацији и највише, њиховим купцима".
Шта могу учинити погођени корисници?
Буквално на стотине корисника су биле погођене цурењем. Постоји сасвим реална могућност да је више рачуна угрожено, али још увек нису процурили. Питао сам Кевина које мере Спотифи корисници треба да предузму да би се заштитили.
„Без обзира на то да ли су хаковани или не, сви корисници Спотифиа требало би да буду упознати са својим рачунима. За оне чији су подаци угрожени, требали би одмах да промене своје податке за пријаву за било који рачуне који користе исту лозинку, као и надзор над било којим финансијским рачунима који могу бити повезани Спотифи. Они такође морају да контактирају Спотифи како би их обавестили о свом рачуну, као и да га ресетују. " - Кевин Схахбази
Кевин је додао да они који су имали ту срећу да нису укључени у депонију података такође требају предузети мере предострожности. Он препоручује да сви корисници ресетују лозинку, а на свим уређајима на којима је инсталиран Спотифи, корисници се одјављују и поново пријављују. Такође је нагласио опасност ослањања на дупликат лозинке.
„Ово је још један случај у којем се враћају дупликатне лозинке како би наштетили онима који траже лак приступ више налога. Иако се може чинити да су подаци за пријаву Спотифија хакирани и сви остали налози су сигурни, ако је дупликата лозинка била ако се користи, могао би се користити за успешно пријављивање на друге рачуне користећи те информације, стварајући домино ефекат. " - Кевине Схахбази
Превенција је боља од лечења
Потрошачи не могу да спрече да њихови подаци процуре кроз услугу коју користе, јер то није у њиховим рукама. Услуга мора да има добру безбедносну праксу и добру хигијену лозинке. Али шта потрошачи могу учинити да ограниче своју изложеност будућим цурењима? Кевин је поново нагласио да корисници треба да избегавају дуплиране лозинке и, где је то могуће, користе двофакторну аутентификацију.
„Други начин на који читаоци могу да осигурају да је сигурност лозинке јака је коришћењем двофакторска аутентификација (2ФА) Шта је двофакторска аутентификација и зашто бисте је требали користитиДвофакторна аутентификација (2ФА) је сигурносна метода која захтева два различита начина доказивања вашег идентитета. Обично се користи у свакодневном животу. На пример, плаћање кредитном картицом не захтева само картицу, ... Опширније , где се поред лозинке од корисника тражи да доставе још један податак, попут отисак прста, ПИН или сигурносно питање које би само они могли да дају. " - Кевине Схахбази
Не изненађује да Кевин препоручује употребу менаџера лозинки, како би се сигурно чувале сложене лозинке. Рекао је "менаџер лозинки Како менаџери лозинки чувају ваше лозинкеТешко је упамтити и лозинке које је тешко пробити. Желите да будете сигурни? Потребан вам је менаџер лозинки. Ево како раде и како вас чувају. Опширније је једноставан начин да спречите хакере да пустоше по вашем животу. Ове шифрирају лозинке у сигурном „трезору“, којима корисник може приступити путем једне главне лозинке. “ Он је додао да ово олакшава употребу сигурних, сложених лозинки.
„Постоје многи бесплатни, поуздани менаџери лозинки. Обавезно користите реномирани. Многи од њих не само да похрањују вашу лозинку, па потражите оне које користе „ињекцију“ за уметање лозинки у тачна поља, а не само копирање и лепљење из међуспремника. То вам помаже да избегнете напад преко кеилоггера. " - Кевин Схахбази
Окончање
Кевина, можда с правом, узнемирује благи одговор Спотифија на стотине њихових корисничких налога распршене на Пастебин. Да ли је ово цурење једнократно или је показатељ нечег већег, тек треба видети.
Покушали смо да ступимо у контакт са Спотифи-ом због коментара на ову причу, али нисмо успели. Ако се обратимо компанији, ажурират ћемо овај чланак са његовим одговором.
Имаге Цредитс: Вдовиченко Денис / Схуттерстоцк.цом
Маттхев Хугхес је програмер и писац софтвера из Ливерпула, Енглеска. Ретко се нађе без шољице јаке црне кафе у руци и апсолутно обожава свој Мацбоок Про и свој фотоапарат. Његов блог можете прочитати на http://www.matthewhughes.co.uk и пратите га на твиттеру на @маттхевхугхес.