Hoe Spotify werd gestoken, en waarom u zou moeten zorgen

Hoe Spotify werd gestoken, en waarom u zou moeten zorgen / Veiligheid

Het nieuwste Spotify-lek is misschien wel de vreemdste. Honderden accounts zijn bespat op Pastebin. Deze accounts zijn al geopend en velen hebben hun e-mails gewijzigd. Maar niet alleen weten we niet wie er achter het lek zit, Spotify is onvermurwbaar en niet gehackt. Dus wat is werkelijk aan de hand?

Om daar achter te komen, regelde ik een gesprek met Kevin Shahbazi, beveiligingsdeskundige en CEO van LogMeOnce, een bedrijf voor wachtwoordbeheer. Kevin heeft een naam opgebouwd in de beveiligingsindustrie. Hij heeft verschillende infosec-bedrijven gelanceerd, waarvan één - Trust Digital, die gespecialiseerd is in smartphonebeveiliging op ondernemingsniveau - door McAfee in 2010 werd overgenomen.

Kevin's expertise op het gebied van beveiliging is onmiskenbaar en ik wilde weten wat hij van deze nieuwste inbreuk op de gegevens maakte. Door een stortvloed van e-mails die op een dinsdagavond werden verzonden, heb ik hem gegrild over wie er misschien achter het lekken zit, wat er zo mis was met de reactie van Spotify en wat de getroffen gebruikers kunnen doen om zichzelf te beschermen.

De anatomie van het lek

Toen het Ashley Madison debacle knalde als een overrijpe meloen Ashley Madison Leak No Big Deal? Think Again Ashley Madison Leak No Big Deal? Think Again Discreet online datingsite Ashley Madison (voornamelijk gericht op vals spelende echtgenoten) is gehackt. Dit is echter een veel ernstiger probleem dan in de pers is verbeeld, met aanzienlijke gevolgen voor de gebruikersveiligheid. Lees Meer, het openbaarde de gemene geheimen van miljoenen op het Dark web. De gegevensdump, gemeten in de gigabytes, somde alles op, van de biografische informatie van de registranten van de site tot zelfs hun seksuele voorkeuren. Hoe vergelijkt het Spotify-lek?

“Voor zover er gegevens zijn gelekt, is er alleen sprake van dat een niet-gespecificeerde 'honderden' accounts in gevaar zijn gebracht. Accountgegevens zoals betalingsgegevens en creditcardgegevens waren niet opgenomen in het lek, maar e-mails, gebruikersnamen, wachtwoorden, accounttype en aanvullende accountgegevens waren.” - Kevin Shahbazi

Er is nog steeds geen informatie over wie er achter de aanval zat, hoewel deze door een gebruiker werd gepubliceerd onder de naam 'Drakia12op Pastebin. Kevin staat open voor de mogelijkheid dat de dump zelf misschien niet zo nieuw is, en in plaats daarvan kwam van accounts die al waren gelekt op de Dark Web Journey Into The Hidden Web: een gids voor nieuwe onderzoekers Journey Into The Hidden Web: een gids Voor nieuwe onderzoekers Deze handleiding neemt je mee op een tocht door de vele niveaus van het deep web: databases en informatie beschikbaar in academische tijdschriften. Uiteindelijk komen we aan bij de poorten van Tor. Read More, en komen nu in een bredere oplage. Aanmeldingen voor Spotify en andere streaming-sites zoals Netflix zijn beschikbaar om te kopen op de murkier-delen van het internet, en volgens een McAfee Labs-rapport worden deze logins continu verspreid door cybercriminelen zodra ze zijn gecompromitteerd”.

Kevin liet ook doorschemeren dat “brute kracht” aanval kan achter het lek zitten, zeg maar, “Een andere mogelijke bron [van het lek] is een programma dat wordt gebruikt om wachtwoorden te 'kammen' of alleen meerdere wachtwoordcombinaties probeert totdat het de juiste vindt”.

Dit lijkt onwaarschijnlijk, omdat de meeste services nu het aantal mislukte inlogpogingen van een gebruiker beperken. Het is echter niet onmogelijk. In 2009 werden de Twitter-accounts van Rick Sanchez, Bill O'Reilly en Britney Spears gecompromitteerd door hackers en werden aanstootgevende berichten geplaatst.

Deze aanval was alleen mogelijk omdat Twitter in die tijd de inlogpogingen niet beperkte en één beheerder een zwak wachtwoord voor het woordenboek had (het was “geluk”).

Ik wilde weten hoe dit lek in vergelijking met andere opvallende lekken, zoals de Ashley Madison, PlayStation Network en Mate1, lekt. Kevin zei dat in tegenstelling tot andere andere opmerkelijke lekken, Spotify dat niet is “bezit” het. Ze nemen geen verantwoordelijkheid. Noch, voegde hij eraan toe, zijn zij “proactief zijn in het beschermen van de informatie van hun klanten”. Shahbazi maakt zich ook zorgen dat de lekkage de ouverture zou kunnen zijn van iets veel groters.

“Door een klein aantal gegevens te publiceren, zouden vermeende hackers simpelweg Spotify in een defensieve positie willen brengen. Na een korte tijd, nadat ze het account hebben gemolken, zullen ze waarschijnlijk de rest van de gegevensverzameling publiceren. Als dat hun doel is, moet er meer schaamte komen en kunnen leidinggevenden uiteindelijk hun posities bij Spotify verliezen.” - Kevin Shahbazi

Waarom Spotify?

Misschien is het meest verwarrend over de Spotify-hack dat het zo'n onwaarschijnlijk doelwit is. Voor een cybercrimineel, is de allure van een gecompromitteerde PayPal- of internetbankrekening Veilig online bankieren? Meestal, maar hier zijn 5 risico's die u moet weten Is online bankieren veilig? Meestal, maar hier zijn 5 risico's die u moet weten Er is veel te leuk over online bankieren. Het is handig, kan je leven vereenvoudigen, je kunt zelfs betere spaarpercentages krijgen. Maar is online bankieren zo veilig en veilig als het zou moeten zijn? Meer lezen is niet te ontkennen. Maar Spotify is geen financiële instelling. Het is een muziekwebsite. Ik vroeg Kevin waarom een ​​hacker het zou kunnen richten.

“De waarde van het aanvallen van Spotify of andere vergelijkbare services varieert van hacker tot hacker. In dit geval lijkt transparantie het meest waarschijnlijke motief achter het recente lek te zijn, om het publiek te laten zien dat hun informatie niet noodzakelijkerwijs veilig is met het platform en uiteindelijk het merk schaamt..” - Kevin Shahbazi

Veel mensen kiezen ervoor om hun Facebook-accounts te linken met Spotify. Dit vereenvoudigt het inloggen en voegt ook een sociale dimensie toe aan de service. Gebruikers kunnen hun favoriete nummers delen met hun vrienden en aanbevelingen ontvangen.

Zou dit kunnen leiden tot verdere pijn voor getroffen gebruikers? Potentieel, Kevin zei. Vooral als de gebruiker een duplicaat wachtwoord gebruikt.

“Dubbele wachtwoorden (of hergebruik van één wachtwoord voor verschillende services) kan een potentieel probleem zijn. Aangezien iedereen nu toegang heeft tot honderden Spotify-aanmeldingen, geeft dit hen de sleutel tot alle andere accounts en services die het gelekte wachtwoord gebruiken).” - Kevin Shahbazi

Reactie van Spotify

Gezien het hoge profiel van Spotify was het onvermijdelijk dat het bedrijf uiteindelijk een beveiligingsprobleem zou ervaren. Maar in dit geval was het verrassend nonchalant over alles.

“Hoewel [in het verleden] ze proactief zijn geweest in het opnieuw instellen van gebruikerswachtwoorden voor accounts die lijken te zijn gehackt, en hebben gezegd dat ze vaak sites scannen als Pastebin voor Spotify-inloggegevens, hebben ze dit niet gedaan met de meest recente vermeende hack, ondanks honderden van Spotify-inloggegevens die online verschijnen.” - Kevin Shahbazi

Getroffen klanten moesten actief contact opnemen met Spotify om weer toegang te krijgen tot hun accounts. Volgens berichten op Twitter en verschillende artikelen in de technologiepers was dit geen gemakkelijke taak. Helaas is dit geen op zichzelf staande gebeurtenis voor Spotify.

“Spotify heeft het bestaan ​​ontkend van soortgelijke vermeende hacks die naar verluidt plaatsvonden in november 2015 en opnieuw dit afgelopen februari. Over het algemeen zijn de openbare verklaringen van Spotify in tegenspraak met de ervaringen van hun klanten.” - Kevin Shahbazi

Kevin is er niet zeker van waarom Spotify zo hevig ondoorzichtig was over het bestaan ​​(of anderszins) van een hack, of dat het slachtoffer was van een gebruikersfout. Hij maakt zich daar echter zorgen over “hun gebrek aan transparantie tast hun merk, reputatie en vooral hun klanten alleen maar aan”.

Wat kunnen de betrokken gebruikers doen?

Letterlijk honderden gebruikers zijn getroffen door de lekkage. De kans is reëel dat er meer accounts zijn gecompromitteerd, maar nog niet zijn gelekt. Ik vroeg Kevin welke maatregelen Spotify-gebruikers moeten nemen om zichzelf te beschermen.

“Of ze nu gehackt worden of niet, alle Spotify-gebruikers moeten op de hoogte zijn van hun accounts. Voor degenen van wie de informatie is aangetast, moeten ze onmiddellijk hun aanmeldingsgegevens wijzigen voor accounts die hetzelfde wachtwoord hebben gebruikt, evenals voor het monitoren van financiële accounts die aan Spotify zijn gekoppeld. Ze moeten ook contact opnemen met Spotify om hen het probleem met hun account te laten weten en het opnieuw in te stellen.” - Kevin Shahbazi

Kevin voegde eraan toe dat degenen die het geluk hadden om niet in de gegevensverzameling te worden opgenomen, ook voorzorgsmaatregelen zouden moeten nemen. Hij adviseert alle gebruikers hun wachtwoord opnieuw in te stellen en op alle apparaten waarop Spotify is geïnstalleerd, loggen gebruikers uit en loggen vervolgens weer in. Hij benadrukte ook de gevaren van het vertrouwen op dubbele wachtwoorden.

“Dit is nog een ander geval waarbij dubbele wachtwoorden terugkomen om diegenen te schaden die op zoek zijn naar gemakkelijke toegang tot meerdere accounts. Hoewel het misschien net lijkt alsof Spotify's inloggegevens zijn gehackt en alle andere accounts veilig zijn, als een duplicaat wachtwoord is gebruikt, kan het worden gebruikt om met succes in te loggen bij andere accounts die die informatie gebruiken, waardoor een domino-effect ontstaat.” - Kevin Shahbazi

Preventie is beter dan de remedie

Het is voor consumenten onmogelijk om te voorkomen dat hun gegevens worden gelekt door een dienst die zij gebruiken, omdat het niet in hun handen ligt. De service moet goede beveiligingsprocedures en een goede wachtwoordhygiëne hebben. Maar wat kunnen consumenten doen om hun blootstelling aan toekomstige lekkages te beperken? Kevin benadrukte opnieuw dat gebruikers dubbele wachtwoorden moeten vermijden en waar mogelijk gebruik maken van two-factor authenticatie.

“Een andere manier waarop lezers kunnen garanderen dat hun wachtwoord veilig is, is door gebruik te maken van tweefactorauthenticatie (2FA). Wat is twee-factorenauthenticatie en waarom zou u het moeten gebruiken? Wat is twee-factorenauthenticatie en waarom zou u het moeten gebruiken? authenticatie (2FA) is een beveiligingsmethode die twee verschillende manieren vereist om uw identiteit te bewijzen. Het wordt vaak gebruikt in het dagelijks leven. Bijvoorbeeld betalen met een creditcard vereist niet alleen de kaart, ... Lees meer, waar gebruikers naast een wachtwoord een ander stuk informatie moeten verstrekken, zoals een vingerafdruk, pincode of beveiligingsvraag, dat alleen zij zouden zijn kunnen bieden.” - Kevin Shahbazi

Uiteraard beveelt Kevin het gebruik van een wachtwoordbeheerder aan, om complexe wachtwoorden veilig op te slaan. Hij zei “een wachtwoordbeheerder Hoe wachtwoordbeheerders uw wachtwoorden veilig houden Hoe wachtwoordbeheerders uw wachtwoorden veilig houden Wachtwoorden die moeilijk te kraken zijn, zijn ook moeilijk te onthouden. Wil je veilig zijn? U hebt een wachtwoordbeheerder nodig. Dit is hoe ze werken en hoe ze je beschermen. Lees Meer is een eenvoudige manier om te voorkomen dat hackers grote schade aanrichten aan uw leven. Deze coderen wachtwoorden in een veilige 'kluis', die de gebruiker kan openen via één hoofdwachtwoord.” Hij voegde eraan toe dat deze het gemakkelijker maken om veilige, complexe wachtwoorden te gebruiken.

“Er zijn veel gratis, betrouwbare wachtwoordbeheerders. Zorg ervoor dat je een gerenommeerde gebruikt. Velen van hen doen meer dan alleen uw wachtwoord opslaan, dus zoek naar degenen die ze gebruiken “injectie” om wachtwoorden in de juiste velden in te voegen, in plaats van gewoon kopiëren en plakken vanaf het klembord. Dit helpt u om te voorkomen dat u wordt aangevallen via keyloggers.” - Kevin Shahbazi

Afsluiten

Kevin, misschien terecht, is verontrust door het milde antwoord van Spotify op honderden gebruikersaccounts die op Pastebin worden gespoten. Of dit lek eenmalig is of dat het duidt op iets dat nog groter zal worden, valt nog te bezien.

We probeerden contact op te nemen met Spotify voor commentaar op dit verhaal, maar konden dit niet doen. Als we terug horen van het bedrijf, updaten we dit artikel met zijn reactie.

Afbeeldingscredits: Vdovichenko Denis / Shutterstock.com

Meer informatie over: Security Breach, Spotify.