Hoe Spotify werd gestoken en waarom u erom zou moeten geven

Advertentie

De nieuwste Spotify-lek misschien wel de vreemdste tot nu toe. Op Pastebin zijn honderden accounts gespat. Deze accounts zijn al geopend en bij veel van hen is de e-mail gewijzigd. Maar niet alleen weten we niet wie er achter het lek zit, Spotify is er zeker van dat het niet is gehackt. Dus wat is werkelijk aan de hand?

Om erachter te komen, heb ik een gesprek geregeld met Kevin Shahbazi, beveiligingsexpert en CEO van het wachtwoordbeheerbedrijf LogMeOnce. Kevin heeft een naam opgebouwd in de beveiligingsbranche. Hij heeft verschillende infobedrijven opgericht, waaronder Trust Digital, gespecialiseerd in smartphonebeveiliging op ondernemingsniveau overgenomen door McAfee in 2010.

Kevins expertise op het gebied van beveiliging valt niet te ontkennen en ik wilde weten wat hij van dit laatste datalek had gemaakt. Tijdens een reeks e-mails die ik op dinsdagavond had verzonden, heb ik hem gegrild over wie er achter de lekkage zit, wat er zo mis was met de reactie van Spotify en wat getroffen gebruikers kunnen doen om zichzelf te beschermen.

De anatomie van het lek

Toen het Ashley Madison-debacle knalde als een overrijpe meloen Ashley Madison Leak No Big Deal? Denk nog eens naDiscrete online datingsite Ashley Madison (voornamelijk gericht op bedriegende echtgenoten) is gehackt. Dit is echter een veel ernstiger probleem dan in de pers is beschreven, met aanzienlijke gevolgen voor de veiligheid van gebruikers. Lees verder , onthulde het de smerige geheimen van miljoenen op het Dark web. De gegevensdump, gemeten in gigabytes, bevatte alles, van de biografische informatie van de registranten van de site, tot zelfs hun niche seksuele voorkeuren. Hoe vergelijkt het Spotify-lek?

"Voor zover er gegevens zijn gelekt, is er alleen vermeld dat er een niet-gespecificeerde‘ honderden ’accounts zijn gecompromitteerd. Accountgegevens zoals betalingsgegevens en creditcardgegevens waren niet opgenomen in het lek, maar e-mails, gebruikersnamen, wachtwoorden, accounttype en aanvullende accountgegevens waren. ” Kevin Shahbazi

Er is nog steeds geen informatie over wie er achter de aanval zat, hoewel het werd gepubliceerd door een gebruiker met de naam ‘Drakia 12‘Op Pastebin. Kevin staat open voor de mogelijkheid dat de dump zelf misschien niet zo nieuw is en in plaats daarvan afkomstig was van accounts die al waren gelekt op het Dark Web Journey Into The Hidden Web: A Guide For New ResearchersDeze handleiding neemt je mee door de vele niveaus van het deep web: databases en informatie die beschikbaar is in wetenschappelijke tijdschriften. Eindelijk komen we aan de poorten van Tor. Lees verder , en komen nu in een bredere circulatie. Logins voor Spotify en andere streaming-sites zoals Netflix zijn beschikbaar om te kopen op de meer duistere delen van internet, en volgens een McAfee Labs-rapport, worden deze aanmeldingen continu verspreid door cybercriminelen zodra ze gecompromitteerd zijn ".

Kevin liet ook doorschemeren dat er een "brute force" -aanval achter het lek zou kunnen zitten en zei: "Een andere mogelijke bron [van het lek] is een programma dat wordt gebruikt om wachtwoorden te 'doorkammen', of gewoon meerdere verschillende wachtwoordcombinaties probeert totdat het de juiste vindt een".

Dit lijkt onwaarschijnlijk, aangezien de meeste services nu het aantal mislukte inlogpogingen van een gebruiker beperken. Dit is echter niet onmogelijk. In 2009 verschenen de Twitter-accounts van Rick Sanchez, Bill O'Reilly en Britney Spears zijn gecompromitteerd door hackers, en er werden aanstootgevende berichten gepost.

Deze aanval was alleen mogelijk omdat Twitter op dat moment geen inlogpogingen beperkte en één beheerder een zwak woordenboekwachtwoord had (het was "geluk").

Ik wilde weten hoe dit lek zich verhoudt tot andere spraakmakende lekken, zoals de lekken van Ashley Madison, PlayStation Network en Mate1. Kevin zei dat Spotify het, in tegenstelling tot andere opmerkelijke lekken, niet 'bezit'. Ze nemen geen verantwoordelijkheid. Hij voegde er ook niet aan toe dat ze 'proactief zijn in het beschermen van de informatie van hun klanten'. Shahbazi maakt zich ook zorgen dat de lekkage de ouverture is van iets veel groters.

“Door een klein aantal gegevens te publiceren, zouden vermeende hackers Spotify eenvoudigweg in een defensieve positie hebben willen plaatsen. Na een korte tijd zullen ze, nadat ze het account hebben gemolken, waarschijnlijk de rest van de gegevensdump publiceren. Als dat hun doel is, zal er meer schaamte komen en kunnen leidinggevenden hun posities bij Spotify verliezen. " - Kevin Shahbazi

Waarom Spotify?

Misschien wel het meest raadselachtige van de Spotify-hack is dat het zo'n onwaarschijnlijk doelwit is. Voor een cybercrimineel, de allure van een gecompromitteerde PayPal of online bankrekening Is online bankieren veilig? Meestal, maar hier zijn 5 risico's die u moet kennenEr is veel leuk aan online bankieren. Het is handig, kan uw leven vereenvoudigen, misschien krijgt u zelfs betere spaarpercentages. Maar is internetbankieren wel zo veilig als het zou moeten zijn? Lees verder valt niet te ontkennen. Maar Spotify is geen financiële instelling. Het is een muziekwebsite. Ik vroeg Kevin waarom een ​​hacker erop zou kunnen mikken.

'De waarde van het aanvallen van Spotify of andere soortgelijke services varieert van hacker tot hacker. In dit geval lijkt transparantie het meest waarschijnlijke motief achter het recente lek, om het publiek te laten zien dat hun informatie is niet noodzakelijkerwijs veilig bij het platform en veroorzaakt uiteindelijk het merk in verlegenheid. " Kevin Shahbazi

Veel mensen kiezen ervoor om hun Facebook-accounts te koppelen aan Spotify. Dit vereenvoudigt het inloggen en voegt ook een sociale dimensie toe aan de dienst. Gebruikers kunnen hun favoriete nummers delen met hun vrienden en aanbevelingen krijgen.

Zou dit kunnen leiden tot meer pijn voor getroffen gebruikers? Potentieel, zei Kevin. Vooral als de gebruiker een dubbel wachtwoord gebruikt.

'Dubbele wachtwoorden (of het hergebruiken van één wachtwoord voor verschillende services) kan een potentieel probleem zijn. Aangezien iedereen nu toegang heeft tot honderden Spotify-aanmeldingen, geeft dit hen de sleutel tot alle andere accounts en services die het gelekte wachtwoord gebruiken). " - Kevin Shahbazi

Spotify's reactie

Gezien het hoge profiel van Spotify was het onvermijdelijk dat het bedrijf uiteindelijk een beveiligingsprobleem zou ondervinden. Maar in dit geval was het verrassend nonchalant over alles.

"Hoewel ze [in het verleden] proactief zijn geweest in het resetten van gebruikerswachtwoorden voor accounts die lijken te zijn gehackt, en hebben ze vaak sites zoals Pastebin voor Spotify-inloggegevens, ze hebben dit niet gedaan met de meest recente vermeende hack, ondanks honderden Spotify-inloggegevens die online verschijnen. " Kevin Shahbazi

Betrokken klanten moesten actief contact opnemen met Spotify om weer toegang tot hun accounts te krijgen. Volgens berichten op Twitter en verschillende artikelen in de technologiepers was dit geen gemakkelijke taak. Helaas is dit geen op zichzelf staand evenement voor Spotify.

“Spotify heeft het bestaan ​​van soortgelijke vermeende hacks ontkend die naar verluidt in november 2015 en opnieuw plaatsvonden afgelopen februari. Over het algemeen zijn de openbare verklaringen van Spotify in tegenspraak met de ervaringen van hun klanten. " - Kevin Shahbazi

Kevin weet niet zeker waarom Spotify zo heftig ondoorzichtig is geweest over het bestaan ​​(of anderszins) van een hack, of dat het het slachtoffer was van een gebruikersfout. Hij maakt zich echter zorgen dat "hun gebrek aan transparantie alleen hun merk, reputatie en vooral hun klanten schaadt".

Wat kunnen getroffen gebruikers doen?

Letterlijk honderden gebruikers zijn door de lekkage getroffen. De kans is reëel dat er meer accounts zijn gehackt, maar dat er nog geen lekken is. Ik vroeg Kevin welke maatregelen Spotify-gebruikers moeten nemen om zichzelf te beschermen.

“Of ze nu gehackt zijn of niet, alle Spotify-gebruikers moeten op de hoogte zijn van hun accounts. Voor degenen van wie de informatie is aangetast, moeten ze onmiddellijk hun aanmeldingsgegevens wijzigen accounts die hetzelfde wachtwoord gebruikten, evenals het monitoren van eventuele financiële accounts waaraan mogelijk is gekoppeld Spotify. Ze moeten ook contact opnemen met Spotify om hen op de hoogte te stellen van het probleem met hun account en om het opnieuw in te stellen. " - Kevin Shahbazi

Kevin voegde eraan toe dat degenen die het geluk hadden om niet in de gegevensdump te worden opgenomen, ook voorzorgsmaatregelen moesten nemen. Hij raadt alle gebruikers aan hun wachtwoorden opnieuw in te stellen en op alle apparaten waarop Spotify is geïnstalleerd, loggen gebruikers uit en loggen ze weer in. Hij benadrukte ook de gevaren van het vertrouwen op dubbele wachtwoorden.

“Dit is weer een ander geval waarin dubbele wachtwoorden terugkomen om diegenen te schaden die op zoek zijn naar gemakkelijke toegang tot meerdere accounts. Hoewel het lijkt alsof Spotify's inloggegevens zijn gehackt en alle andere accounts veilig zijn, als er een dubbel wachtwoord was gebruikt, kan het worden gebruikt om met succes in te loggen op andere accounts met die informatie, waardoor een domino-effect ontstaat. ” Kevin Shahbazi

Voorkomen is beter dan genezen

Consumenten kunnen onmogelijk voorkomen dat hun gegevens worden gelekt door een service die ze gebruiken, omdat ze niet in hun handen zijn. De service moet goede beveiligingsmethoden en goede wachtwoordhygiëne hebben. Maar wat kunnen consumenten doen om hun blootstelling aan toekomstige lekkages te beperken? Kevin benadrukte opnieuw dat gebruikers dubbele wachtwoorden moeten vermijden en waar mogelijk tweefactorauthenticatie moeten gebruiken.

'Een andere manier waarop lezers ervoor kunnen zorgen dat hun wachtwoordbeveiliging sterk is, is door gebruik te maken van tweefactorauthenticatie (2FA) Wat is tweefactorauthenticatie en waarom u deze moet gebruikenTwee-factor-authenticatie (2FA) is een beveiligingsmethode die twee verschillende manieren vereist om uw identiteit te bewijzen. Het wordt veel gebruikt in het dagelijks leven. Betalen met een creditcard vereist bijvoorbeeld niet alleen de kaart, ... Lees verder , waar gebruikers, naast een wachtwoord, nog een stukje informatie moeten verstrekken, zoals een vingerafdruk, pincode of beveiligingsvraag die alleen zij zouden kunnen beantwoorden. ' Kevin Shahbazi

Het is niet verwonderlijk dat Kevin het gebruik van een wachtwoordbeheerder aanbeveelt om complexe wachtwoorden veilig op te slaan. Hij zei "een wachtwoordbeheerder Hoe wachtwoordmanagers uw wachtwoorden veilig houdenWachtwoorden die moeilijk te kraken zijn, zijn ook moeilijk te onthouden. Wil je veilig zijn? U heeft een wachtwoordbeheerder nodig. Hier leest u hoe ze werken en hoe ze u beschermen. Lees verder is een eenvoudige manier om te voorkomen dat hackers uw leven verwoesten. Deze coderen wachtwoorden in een veilige ‘kluis’, waartoe de gebruiker toegang heeft via één hoofdwachtwoord. " Hij voegde eraan toe dat deze het gemakkelijker maken om veilige, complexe wachtwoorden te gebruiken.

“Er zijn veel gratis, betrouwbare wachtwoordmanagers. Zorg ervoor dat u een gerenommeerde gebruikt. Velen van hen doen meer dan alleen uw wachtwoord opslaan, dus zoek naar degenen die "injectie" gebruiken om wachtwoorden in de juiste velden in te voegen, in plaats van simpelweg kopiëren en plakken vanaf het klembord. Zo voorkom je dat je wordt aangevallen via keyloggers. ” - Kevin Shahbazi

Afsluiten

Kevin is misschien terecht verontrust door de milde reactie van Spotify op honderden van hun gebruikersaccounts die op Pastebin worden gespoten. Of dit lek eenmalig is of dat het een indicatie is voor iets groters dat nog moet komen, valt nog te bezien.

We hebben geprobeerd contact op te nemen met Spotify voor commentaar op dit verhaal, maar dat is niet gelukt. Als we iets van het bedrijf horen, werken we dit artikel bij met de reactie.

Afbeeldingscredits: Vdovichenko Denis / Shutterstock.com