Como spotify foi picado, e por que você deve cuidar

O mais recente vazamento de Spotify pode ser ainda mais estranho um. Centenas de contas foram espirrada no Pastebin. Estas contas já foram acessados, com muitos tendo tido seus e-mails alterado. Mas não só não sabemos quem está por trás do vazamento, Spotify é inflexível que não tenha sido cortado. Então o que realmente

indo?

Video: Maiara e Maraisa - Motel part. Marília Mendonça (Ao Vivo em Goiânia)

Para descobrir isso, eu arranjei uma conversa com Kevin Shahbazi, especialista em segurança e CEO da empresa de gerenciamento de senhas LogMeOnce. Kevin construiu-se um nome na indústria de segurança. Ele lançou várias empresas infosec diferentes, uma das quais - Confiança Digital, que se especializam em nível empresarial de segurança smartphone - foi adquirida pela McAfee em 2010.

experiência de Kevin no campo da segurança é inegável, e eu queria saber o que ele fez desta mais recente violação de dados. Mais de uma enxurrada de e-mails enviados em uma terça-feira à noite, eu grelhado-lo em quem poderia estar por trás do vazamento, o que era tão errado com a resposta do Spotify, e que afetou os usuários podem fazer para se proteger.

A anatomia do vazamento

Quando o debacle Ashley Madison apareceu como um melão maduro demais, expôs os segredos sórdidos de milhões para a web escuro. O despejo de dados, que mediu nos gigabytes, listados tudo, desde a informação biográfica de inscritos do site, para uniformizar as suas preferências sexuais de nicho. Como é que o vazamento Spotify comparar?Ashley Madison Leak No Big Deal? Pense de novoAshley Madison Leak No Big Deal? Pense de novoDiscreto site de namoro on-line Ashley Madison (destinados principalmente a batota cônjuges) foi hackeado. No entanto, esta é uma questão muito mais grave do que foi retratado na imprensa, com implicações consideráveis ​​para a segurança do usuário.consulte Mais informação

“Na medida em que a quantidade de dados foi vazado, só houve menção de que foram comprometidos um não especificado‘centenas de contas. informações da conta como detalhes de pagamento e informações de cartão de crédito não foram incluídos no vazamento, mas e-mails, nomes de usuário, senhas, tipo de conta e conta adicional detalhes foram.”- Kevin Shahbazi

Ainda não há informações sobre quem estava por trás do ataque, embora tenha sido publicado por um usuário com o nome de ‘Drakia12‘On Pastebin. Kevin está aberto à possibilidade de que o próprio despejo pode não ser tudo o que Nova, e em vez disso veio de contas que já tinha sido divulgada na o Web escuro, e agora estão entrando em uma circulação mais ampla. Logins para Spotify e outros sites de streaming como o Netflix, estão disponíveis para compra nas partes mais escuras da Internet, e de acordo com um relatório da McAfee Labs, esses logins são continuamente circulado por criminosos uma vez que já foi comprometida”.

Kevin também sugeriu que um ataque “força bruta” pode estar por trás do vazamento, dizendo: “Outra fonte possível [do vazamento] é um programa usado para `pente` através de senhas, ou simplesmente tentar várias combinações diferentes de senha até encontrar a correta 1".

Isso parece improvável, já que a maioria dos serviços agora limitar a quantidade de tentativas de login de um usuário pode fazer. No entanto, não é impossível. Em 2009, as contas de Twitter de Rick Sanchez, Bill O`Reilly, e Britney Spears foram comprometidos por hackers, e as mensagens ofensivas foram postados.

sancheztwitter

Este ataque só foi possível porque, no momento, o Twitter não limitar as tentativas de login, e um administrador tinha uma senha dicionário fraco (que era "felicidade").

Eu queria saber como esse vazamento em comparação com outros vazamentos de alto perfil, como o Ashley Madison, PlayStation Network e vazamentos Mate1. Kevin disse que ao contrário de outros vazamentos outros notáveis, Spotify não é “possuir”-lo. Eles não estão assumindo a responsabilidade. Nem, acrescentou, são “ser proativo na proteção de informações de seus clientes”. Shahbazi também se preocupa que o vazamento pode ser a abertura de algo muito maior.

“Ao publicar uma pequena amostra de dados hackers alegados poderia ter simplesmente queria colocar Spotify em uma posição defensiva. Em seguida, depois de um curto período de tempo, depois de terem ordenhadas a conta, provavelmente eles vão publicar o resto do despejo de dados. Se esse é o seu objetivo, então mais embaraço está por vir, e executivos pode acabar perdendo suas posições no Spotify.”- Kevin Shahbazi

Por Spotify?

Talvez o mais intrigante sobre o Spotify corte é que ele é um alvo tão improvável. Para um cyber-criminoso, o fascínio de um PayPal comprometido ou conta bancária online é inegável. Mas Spotify não é uma instituição financeira. É um site de música. Eu perguntei Kevin porque um hacker pode destiná-las.Banking on-line é seguro? 5 riscos que deve se preocupar VocêBanking on-line é seguro? 5 riscos que deve se preocupar VocêHá muito a desejar sobre a banca online. É conveniente, pode simplificar a sua vida, você pode até obter melhores taxas de poupança. Mas é bancário on-line como seguro e seguro como deveria ser?consulte Mais informação

“O valor em atacar Spotify, ou outros serviços similares, varia de hacker hacker. Neste caso, a transparência parece ser o motivo mais provável para trás o vazamento recente, para mostrar ao público que a sua informação não é necessariamente segura com a plataforma, e, finalmente, causando embaraço para a marca.”- Kevin Shahbazi

Video: Cleber e Cauan - Tô Com Pena de Você - Part. Israel Novaes (DVD ao vivo em Brasília) [Vídeo Oficial]

Muitas pessoas escolhem para vincular suas contas do Facebook com o Spotify. Isto simplifica o login, e também adiciona uma dimensão social ao serviço. Os usuários são capazes de compartilhar suas faixas favoritas com seus amigos, e obter recomendações.

Perfil

Isso poderia levar a mais dor para os usuários afetados? Potencialmente, disse Kevin. Especialmente se o usuário está usando uma senha duplicado.



“Senhas duplicadas (ou reutilizando uma única senha em diferentes serviços) poderia ser um problema potencial. Desde qualquer um pode agora aceder a centenas de logins Spotify, isso dá-lhes a chave para quaisquer outras contas e serviços que usam a senha vazou).”- Kevin Shahbazi

A resposta do Spotify

Dado o perfil de alta do Spotify, era inevitável que a empresa acabaria por experimentar algum tipo de problema de segurança. Mas, neste caso, tem sido surpreendentemente indiferente sobre tudo.

“Enquanto [no passado] eles têm sido proativo na redefinição de senhas de usuários para contas que parecem ser cortado, e disseram que muitas vezes varrer sites como o Pastebin credenciais Spotify, eles não o fizeram com o mais recente alegada corte, apesar centenas de credenciais Spotify aparecendo online.”- Kevin Shahbazi

clientes afetados tiveram para chegar ativamente para Spotify para recuperar o acesso às suas contas. De acordo com postagens no Twitter, e vários artigos na imprensa de tecnologia, isso não tem sido uma tarefa fácil. Infelizmente, este não é um evento isolado para Spotify.

“Spotify negou a existência alegados hacks semelhantes que supostamente tiveram lugar em Novembro de 2015 e novamente em fevereiro deste ano. No geral, as declarações públicas de Spotify contradizem as experiências de seus clientes.”- Kevin Shahbazi

Kevin não é certo porque Spotify tem sido tão veementemente opaca sobre a existência (ou não) de um truque, ou se foi vítima de erro do usuário. No entanto, ele teme que “a falta de transparência só está prejudicando a sua marca, reputação, e acima de tudo, os seus clientes”.

O que pode utilizadores afectados não?

Literalmente centenas de usuários foram afetados pelo vazamento. Há uma possibilidade muito real de que mais contas foram comprometidas, mas apenas ainda não foram divulgados. Eu perguntei Kevin que medidas usuários Spotify deve tomar para se proteger.

“Se cortado ou não, todos os usuários Spotify devem estar cientes de suas contas. Para aqueles cuja informação foi comprometida eles devem mudar imediatamente suas informações de login para quaisquer contas que utilizaram a mesma senha, bem como monitorar todas as contas financeiras que podem estar ligados ao Spotify. Eles precisam também entrar em contato com Spotify para que eles saibam do problema com a sua conta, bem como para redefini-la.”- Kevin Shahbazi

LeakedAccounts

Kevin acrescentou que aqueles que tiveram a sorte de não ser incluído no despejo de dados também deve tomar precauções. Ele recomenda que todos os usuários redefinam suas senhas, e em todos os dispositivos em que Spotify está instalado, os usuários sessão e, em seguida, faça login novamente. Ele também destacou os perigos de depender de senhas duplicadas.

“Este ainda é outro caso em que as senhas duplicadas voltar para prejudicar aqueles que procuram facilidade de acesso a várias contas. Embora possa parecer apenas informações de login do Spotify foi hackeado e todas as outras contas são seguros, se foi usada uma senha duplicado, ele poderia ser usado para fazer login com sucesso para outras contas utilizando essa informação, criando um efeito dominó.”- Kevin Shahbazi

Prevenir é melhor que a cura

É impossível para os consumidores a evitar que seus dados sejam vazou por um serviço que eles usam, desde que não seja em suas mãos. O serviço tem que ter boas práticas de segurança e higiene boa senha. Mas o que os consumidores podem fazer para limitar sua exposição a vazamentos futuros? Kevin voltou a sublinhar que os usuários devem evitar senhas duplicadas e, quando possível uso de autenticação de dois fatores.

“Outra forma que os leitores possam garantir a sua segurança senha é forte é através da utilização autenticação de dois factores (2FA), onde, além de uma senha, os usuários são obrigados a fornecer outra peça de informação, como uma impressão digital, PIN ou pergunta de segurança, que só eles seriam capazes de fornecer.”- Kevin ShahbaziO que é Two-Factor Authentication, e por que você deve usá-loO que é Two-Factor Authentication, e por que você deve usá-loautenticação de dois fatores (2FA) é um método de segurança que requer duas maneiras diferentes de provar a sua identidade. É comumente utilizada na vida cotidiana. Por exemplo pagando com um cartão de crédito não só exige o cartão, ...consulte Mais informação

Sem surpresa, Kevin recomenda o uso de um gerenciador de senhas, a fim de armazenar de forma segura senhas complexas. Ele disse "um gerenciador de senhas é uma maneira simples para impedir que hackers causando estragos em sua vida. Essas senhas criptografar em uma ‘cofre` seguro, que o usuário pode acessar através de uma senha mestra.” Ele acrescentou que estes tornam mais fácil de usar, senhas complexas seguras.Como gerentes de senha Mantenha suas senhas segurasComo gerentes de senha Mantenha suas senhas segurasAs senhas que são difíceis de crack também são difíceis de lembrar. Quer ser seguro? Você precisa de um gerenciador de senhas. Veja como eles funcionam e como eles mantê-lo seguro.consulte Mais informação

“Há muitos gerentes de senha livres, confiáveis. Certifique-se de que você está usando um respeitável. Muitos deles fazem mais do que simplesmente armazenar sua senha, assim que olhar para aqueles que usam “injeção” para inserir senhas nos campos corretos, ao invés de simplesmente copiando e colando da área de transferência. Isso ajuda você a evitar ser atacado através de keyloggers.”- Kevin Shahbazi

Empacotando

Kevin, talvez com razão, é perturbado pela resposta branda por Spotify a centenas de suas contas de usuário que está sendo pulverizado sobre Pastebin. Se esse vazamento é um one-off ou se é indicativo de algo maior para vir continua a ser visto.

Tentamos entrar em contato com Spotify para comentar sobre esta história, mas foram incapazes de fazê-lo. Se ouvimos volta da empresa, vamos atualizar este artigo com a sua resposta.


Artigos relacionados