Come Spotify è stato punto, e perché dovresti preoccuparti

Come Spotify è stato punto, e perché dovresti preoccuparti / Sicurezza

L'ultima perdita di Spotify potrebbe essere la più strana ancora. Centinaia di account sono stati spruzzati su Pastebin. Questi account sono già stati aperti, con molti che hanno cambiato le loro e-mail. Ma non solo non sappiamo chi c'è dietro la perdita, Spotify è fermamente convinto che non sia stato violato. Quindi, cosa c'è veramente andando avanti?

Per scoprirlo, ho organizzato una chat con Kevin Shahbazi, esperto di sicurezza e CEO della società di gestione delle password LogMeOnce. Kevin si è costruito un nome nel settore della sicurezza. Ha lanciato diverse società infosec, di cui una - Trust Digital, specializzata in sicurezza smartphone a livello aziendale - è stata acquisita da McAfee nel 2010.

L'esperienza di Kevin nel campo della sicurezza è innegabile, e volevo scoprire cosa ha fatto di questa recente violazione dei dati. Durante una raffica di e-mail inviate il martedì sera, gli ho grigliato su chi potrebbe essere dietro la perdita, cosa c'era di così sbagliato nella risposta di Spotify e cosa possono fare gli utenti interessati a proteggersi.

L'anatomia della perdita

Quando la debacle di Ashley Madison è esplosa come un melone troppo maturo Ashley Madison Leak No Big Deal? Pensa ancora Ashley Madison Leak No Big Deal? Pensa di nuovo Discreet sito di appuntamenti online Ashley Madison (destinato principalmente ai coniugi truffatori) è stato violato. Tuttavia questo è un problema molto più serio di quello che è stato descritto dalla stampa, con notevoli implicazioni per la sicurezza degli utenti. Per saperne di più, ha esposto i sordidi segreti di milioni sulla rete oscura. Il dump dei dati, misurato in gigabyte, elencava tutto dalle informazioni biografiche dei dichiaranti del sito, fino alle loro preferenze sessuali di nicchia. Come si confronta la perdita di Spotify?

“Per quanto riguarda la quantità di dati trapelati, è stato menzionato solo il fatto che "centinaia" di account non specificati sono stati compromessi. Le informazioni sull'account come i dati di pagamento e le informazioni sulla carta di credito non erano incluse nella perdita, ma email, nomi utente, password, tipo di account e dettagli dell'account aggiuntivi erano.” - Kevin Shahbazi

Non ci sono ancora informazioni su chi c'era dietro l'attacco, anche se è stato pubblicato da un utente con il nome di 'Drakia12'su Pastebin. Kevin è aperto alla possibilità che la discarica stessa non sia poi così nuova, e invece proviene da account che erano già stati divulgati sul Web oscuro. Viaggio nel web nascosto: una guida per i nuovi ricercatori che viaggiano nel web nascosto: una guida Per i nuovi ricercatori Questo manuale ti porterà in un tour attraverso i vari livelli del deep web: database e informazioni disponibili nelle riviste accademiche. Finalmente arriveremo alle porte di Tor. Leggi di più, e ora stai entrando in una circolazione più ampia. Gli accessi per Spotify e altri siti di streaming come Netflix sono disponibili per l'acquisto nelle parti più oscure di Internet e, secondo un rapporto McAfee Labs, questi accessi vengono continuamente diffusi dai criminali informatici una volta che sono stati compromessi”.

Kevin ha anche accennato che a “forza bruta” attacco potrebbe essere dietro la perdita, dicendo, “Un'altra possibile fonte [della perdita] è un programma usato per "pettinare" attraverso le password, o semplicemente tentare più combinazioni di password diverse finché non trova quella corretta”.

Ciò sembra improbabile, poiché la maggior parte dei servizi ora limita la quantità di tentativi di accesso falliti che un utente può effettuare. Tuttavia, non è impossibile. Nel 2009, gli account Twitter di Rick Sanchez, Bill O'Reilly e Britney Spears sono stati compromessi dagli hacker e sono stati pubblicati messaggi offensivi.

Questo attacco era possibile solo perché, al momento, Twitter non limitava i tentativi di accesso e un amministratore aveva una password del dizionario debole (lo era “felicità”).

Volevo sapere in che modo questa perdita è stata confrontata con altre perdite di alto profilo, come le perdite di Ashley Madison, PlayStation Network e Mate1. Kevin ha detto che a differenza di altre altre perdite notabili, Spotify non lo è “possedere” esso. Non si assumono responsabilità. Né, ha aggiunto, sono loro “essere proattivi nel proteggere le informazioni dei loro clienti”. Shahbazi si preoccupa anche che la perdita possa essere l'apertura di qualcosa di molto più grande.

“Pubblicando un piccolo campione di dati, i presunti hacker avrebbero semplicemente voluto mettere Spotify in una posizione difensiva. Quindi, dopo poco tempo, dopo aver munto l'account, pubblicheranno probabilmente il resto del dump dei dati. Se questo è il loro obiettivo, allora arriverà più imbarazzo e i dirigenti potrebbero finire per perdere le loro posizioni su Spotify.” - Kevin Shahbazi

Perché Spotify?

Forse la cosa più sconcertante dell'happ Spotify è che è un bersaglio così improbabile. Per un cyber-criminale, il fascino di un conto PayPal o di un conto bancario online compromesso è sicuro online? Per lo più, ma qui ci sono 5 rischi che dovreste sapere è sicuro online banking? Per lo più, ma qui ci sono 5 rischi che dovreste sapere sull'affare online c'è molto da amare. È conveniente, può semplificarti la vita, potresti anche ottenere migliori tassi di risparmio. Ma l'online banking è sicuro e sicuro come dovrebbe essere? Leggi di più è innegabile. Ma Spotify non è un'istituzione finanziaria. È un sito di musica. Ho chiesto a Kevin perché un hacker potrebbe bersagliarlo.

“Il valore nell'attacco di Spotify o di altri servizi simili varia da hacker a hacker. In questo caso, la trasparenza sembra essere il motivo più probabile dietro la fuga recente, per mostrare al pubblico che le loro informazioni non sono necessariamente sicure con la piattaforma e, in ultima analisi, causare imbarazzo al marchio.” - Kevin Shahbazi

Molte persone scelgono di collegare i loro account Facebook con Spotify. Ciò semplifica l'accesso e aggiunge anche una dimensione sociale al servizio. Gli utenti possono condividere i loro brani preferiti con i loro amici e ottenere consigli.

Questo potrebbe portare a ulteriori dolori per gli utenti interessati? Potenzialmente, ha detto Kevin. Soprattutto se l'utente sta utilizzando una password duplicata.

“Le password duplicate (o il riutilizzo di una singola password tra servizi diversi) potrebbero essere un potenziale problema. Dal momento che chiunque può ora accedere a centinaia di accessi Spotify, questo dà loro la chiave per qualsiasi altro account e servizio che utilizza la password trapelata).” - Kevin Shahbazi

La risposta di Spotify

Dato l'alto profilo di Spotify, era inevitabile che alla fine l'azienda potesse sperimentare qualche tipo di problema di sicurezza. Ma in questo caso, è stato sorprendentemente noncurante su tutto.

“Mentre [in passato] sono stati proattivi nel reimpostare le password degli utenti per gli account che sembrano essere compromessi, e hanno detto che spesso scansionano siti come Pastebin per le credenziali di Spotify, non lo hanno fatto con il presunto hack più recente, nonostante centinaia di credenziali Spotify che appaiono online.” - Kevin Shahbazi

I clienti interessati devono contattare attivamente Spotify per riottenere l'accesso ai propri account. Secondo i post su Twitter e vari articoli sulla stampa tecnologica, questo non è stato un compito facile. Purtroppo, questo non è un evento isolato per Spotify.

“Spotify ha negato l'esistenza di presunti hack che presumibilmente si sono verificati nel novembre 2015 e di nuovo lo scorso febbraio. Nel complesso, le dichiarazioni pubbliche di Spotify contraddicono le esperienze dei loro clienti.” - Kevin Shahbazi

Kevin non è sicuro del perché Spotify sia stato così veementemente opaco circa l'esistenza (o meno) di un hack, o se sia stato vittima di un errore dell'utente. Tuttavia, lo preoccupa “la loro mancanza di trasparenza danneggia solo il loro marchio, la loro reputazione e, soprattutto, i loro clienti”.

Cosa possono fare gli utenti interessati?

Letteralmente centinaia di utenti sono stati colpiti dalla perdita. C'è una reale possibilità che altri account siano stati compromessi, ma non sono stati ancora trapelati. Ho chiesto a Kevin quali misure dovrebbero prendere gli utenti Spotify per proteggersi.

“Se hackerati o meno, tutti gli utenti di Spotify dovrebbero essere consapevoli dei loro account. Per coloro le cui informazioni sono state compromesse, dovrebbero immediatamente modificare le loro informazioni di accesso per tutti gli account che utilizzano la stessa password, nonché monitorare eventuali account finanziari che potrebbero essere collegati a Spotify. Devono inoltre contattare Spotify per comunicare loro il problema con il proprio account e per ripristinarlo.” - Kevin Shahbazi

Kevin ha aggiunto che anche quelli che hanno la fortuna di non essere inclusi nella discarica di dati dovrebbero prendere precauzioni. Raccomanda a tutti gli utenti di reimpostare le proprie password e su tutti i dispositivi su cui è installato Spotify, gli utenti si disconnettono e quindi ricollegano. Ha anche sottolineato i pericoli di affidarsi a password duplicate.

“Questo è un altro caso in cui le password duplicate tornano a danneggiare coloro che cercano facilità di accesso a più account. Anche se può sembrare che le informazioni di accesso di Spotify siano state compromesse e tutti gli altri account siano sicuri, se è stata utilizzata una password duplicata, potrebbe essere utilizzata per accedere correttamente ad altri account che utilizzano tali informazioni, creando un effetto domino.” - Kevin Shahbazi

La prevenzione è meglio della cura

È impossibile per i consumatori impedire che i loro dati vengano trapelati da un servizio che utilizzano, poiché non è nelle loro mani. Il servizio deve avere buone pratiche di sicurezza e una buona igiene della password. Ma cosa possono fare i consumatori per limitare la loro esposizione a perdite future? Kevin ha nuovamente sottolineato che gli utenti dovrebbero evitare password duplicate e, laddove possibile, utilizzare l'autenticazione a due fattori.

“Un altro modo in cui i lettori possono garantire la sicurezza della propria password è forte utilizzando l'autenticazione a due fattori (2FA) Cos'è l'autenticazione a due fattori, e perché dovresti usarla Cos'è l'autenticazione a due fattori e perché dovresti usarla Due fattori authentication (2FA) è un metodo di sicurezza che richiede due diversi modi per dimostrare la propria identità. È comunemente usato nella vita di tutti i giorni. Ad esempio, il pagamento con carta di credito non solo richiede la carta, ... Ulteriori informazioni, dove oltre a una password, gli utenti sono tenuti a fornire un'altra informazione, come un dito, un PIN o una domanda di sicurezza, che solo loro sarebbero in grado di fornire.” - Kevin Shahbazi

Non sorprende, Kevin raccomanda l'uso di un gestore di password, al fine di archiviare in modo sicuro le password complesse. Egli ha detto “un gestore di password Come i gestori di password mantengono le password sicure Come i gestori di password mantengono le password sicure Anche le password difficili da decifrare sono difficili da ricordare. Vuoi essere al sicuro? Hai bisogno di un gestore di password. Ecco come funzionano e come ti proteggono. Leggi altro è un modo semplice per impedire agli hacker di scatenare il caos nella tua vita. Queste codificano le password in un "vault" sicuro, a cui l'utente può accedere tramite una password principale.” Ha aggiunto che questi rendono più facile l'uso di password sicure e complesse.

“Esistono molti gestori di password gratuiti e affidabili. Assicurati di utilizzarne uno affidabile. Molti di loro non si limitano a memorizzare semplicemente la tua password, quindi cerca quelli che usano “iniezione” inserire password nei campi corretti, piuttosto che copiare e incollare semplicemente dagli Appunti. Questo ti aiuta ad evitare di essere attaccato tramite i keylogger.” - Kevin Shahbazi

Avvolgendo

Kevin, forse giustamente, è turbato dalla mite risposta di Spotify a centinaia di account degli utenti che vengono spruzzati su Pastebin. Resta da vedere se questa perdita è una tantum o se è indicativa di qualcosa di più grande che verrà.

Abbiamo cercato di metterci in contatto con Spotify per commentare questa storia, ma non siamo riusciti a farlo. Se ci sentiamo rispondere dalla società, aggiorneremo questo articolo con la sua risposta.

Crediti immagine: Vdovichenko Denis / Shutterstock.com

Scopri di più su: Violazione della sicurezza, Spotify.