L'ultima perdita di Spotify potrebbe essere la più strana ancora. Centinaia di account sono stati spruzzati su Pastebin. Questi account sono già stati aperti, con molti che hanno cambiato le loro e-mail. Ma non solo non sappiamo chi c'è dietro la perdita, Spotify è fermamente convinto che non sia stato violato. Quindi, cosa sta succedendo davvero ?
Per scoprirlo, ho organizzato una chat con Kevin Shahbazi, esperto di sicurezza e CEO della società di gestione delle password LogMeOnce. Kevin si è costruito un nome nel settore della sicurezza. Ha lanciato diverse società infosec, di cui una - Trust Digital, specializzata in sicurezza smartphone a livello aziendale - è stata acquisita da McAfee nel 2010.
L'esperienza di Kevin nel campo della sicurezza è innegabile, e volevo scoprire cosa ha fatto di questa recente violazione dei dati. Durante una raffica di e-mail inviate martedì sera, gli ho cibato su chi potrebbe essere dietro la perdita, cosa c'è di così sbagliato nella risposta di Spotify e cosa possono fare gli utenti interessati a proteggersi.
L'anatomia della perdita
Quando la debacle di Ashley Madison è esplosa come un melone troppo maturo Ashley Madison Leak No Big Deal? Pensa ancora Ashley Madison Leak No Big Deal? Pensa di nuovo Discreet sito di appuntamenti online Ashley Madison (destinato principalmente ai coniugi truffatori) è stato violato. Tuttavia questo è un problema molto più serio di quello che è stato descritto dalla stampa, con notevoli implicazioni per la sicurezza degli utenti. Per saperne di più, ha esposto i sordidi segreti di milioni sulla rete oscura. Il dump dei dati, misurato in gigabyte, elencava tutto dalle informazioni biografiche dei registranti del sito, fino alle loro preferenze sessuali di nicchia. Come si confronta la perdita di Spotify?
"Per quanto riguarda la quantità di dati trapelati, è stato menzionato solo il fatto che" centinaia "di account non specificati sono stati compromessi. Le informazioni sull'account come i dettagli di pagamento e le informazioni sulla carta di credito non erano incluse nella perdita, ma erano email, nomi utente, password, tipo di account e dettagli dell'account aggiuntivi. "- Kevin Shahbazi
Non ci sono ancora informazioni su chi c'era dietro l'attacco, sebbene sia stato pubblicato da un utente con il nome di " Drakia12 " su Pastebin. Kevin è aperto alla possibilità che la discarica stessa non sia poi così nuova, e invece proviene da account che erano già stati divulgati sul Web oscuro. Viaggio nel web nascosto: una guida per i nuovi ricercatori che viaggiano nel web nascosto: una guida Per i nuovi ricercatori Questo manuale ti porterà in un tour attraverso i vari livelli del deep web: database e informazioni disponibili nelle riviste accademiche. Finalmente arriveremo alle porte di Tor. Leggi di più, e ora stai entrando in una circolazione più ampia. Gli accessi per Spotify e altri siti di streaming come Netflix sono disponibili per l'acquisto nelle parti più oscure di Internet e, secondo un rapporto di McAfee Labs, questi accessi vengono continuamente diffusi dai criminali informatici una volta che sono stati compromessi ".
Kevin ha anche accennato al fatto che un attacco di "forza bruta" potrebbe essere dietro la perdita, dicendo: "Un'altra possibile fonte [della perdita] è un programma usato per" pettinare "attraverso le password, o semplicemente tentare più combinazioni di password diverse finché non trova la corretta uno".
Ciò sembra improbabile, poiché la maggior parte dei servizi ora limita la quantità di tentativi di accesso falliti che un utente può effettuare. Tuttavia, non è impossibile. Nel 2009, gli account Twitter di Rick Sanchez, Bill O'Reilly e Britney Spears sono stati compromessi dagli hacker e sono stati pubblicati messaggi offensivi.
Questo attacco era possibile solo perché, al momento, Twitter non limitava i tentativi di accesso e un amministratore aveva una password del dizionario debole (era "felicità" ).
Volevo sapere in che modo questa perdita è stata confrontata con altre perdite di alto profilo, come le perdite di Ashley Madison, PlayStation Network e Mate1. Kevin ha detto che a differenza di altre altre perdite notabili, Spotify non lo "possiede". Non si assumono responsabilità. Né, ha aggiunto, "sono proattivi nel proteggere le informazioni dei loro clienti". Shahbazi si preoccupa anche che la perdita possa essere l'apertura di qualcosa di molto più grande.
"Pubblicando un piccolo campione di dati i presunti hacker avrebbero semplicemente voluto mettere Spotify in una posizione difensiva. Quindi, dopo poco tempo, dopo aver munto l'account, pubblicheranno probabilmente il resto del dump dei dati. Se questo è il loro obiettivo, allora arriverà più imbarazzo e i dirigenti potrebbero finire per perdere le loro posizioni in Spotify. "- Kevin Shahbazi
Perché Spotify?
Forse la cosa più sconcertante dell'happ Spotify è che è un bersaglio così improbabile. Per un cyber-criminale, il fascino di un PayPal compromesso o di un conto bancario online è sicuro online? Per lo più, ma qui ci sono 5 rischi che dovreste sapere è sicuro online banking? Per lo più, ma qui ci sono 5 rischi che dovreste sapere sull'affare online c'è molto da amare. È conveniente, può semplificarti la vita, potresti anche ottenere migliori tassi di risparmio. Ma l'online banking è sicuro e sicuro come dovrebbe essere? Leggi di più è innegabile. Ma Spotify non è un'istituzione finanziaria. È un sito di musica. Ho chiesto a Kevin perché un hacker potrebbe bersagliarlo.
"Il valore nell'attacco di Spotify o di altri servizi simili varia da hacker a hacker. In questo caso, la trasparenza sembra essere il motivo più probabile dietro la fuga recente, per mostrare al pubblico che le loro informazioni non sono necessariamente al sicuro con la piattaforma, e in definitiva, causando imbarazzo per il marchio. "- Kevin Shahbazi
Molte persone scelgono di collegare i loro account Facebook con Spotify. Ciò semplifica l'accesso e aggiunge anche una dimensione sociale al servizio. Gli utenti possono condividere i loro brani preferiti con i loro amici e ottenere consigli.
Questo potrebbe portare a ulteriori dolori per gli utenti interessati? Potenzialmente, ha detto Kevin. Soprattutto se l'utente sta utilizzando una password duplicata.
"Duplicare le password (o riutilizzare una singola password tra diversi servizi) potrebbe essere un potenziale problema. Dal momento che chiunque può ora accedere a centinaia di accessi Spotify, questo dà loro la chiave per qualsiasi altro account e servizio che utilizza la password trapelata). "- Kevin Shahbazi
La risposta di Spotify
Dato l'alto profilo di Spotify, era inevitabile che alla fine l'azienda potesse sperimentare qualche tipo di problema di sicurezza. Ma in questo caso, è stato sorprendentemente noncurante su tutto.
"Mentre [in passato] sono stati proattivi nel reimpostare le password degli utenti per gli account che sembrano essere compromessi, e hanno detto che spesso eseguono la scansione di siti come Pastebin per le credenziali di Spotify, non lo hanno fatto con il presunto hack, nonostante centinaia di credenziali Spotify che appaiono online. "- Kevin Shahbazi
I clienti interessati devono contattare attivamente Spotify per riottenere l'accesso ai propri account. Secondo i post su Twitter e vari articoli sulla stampa tecnologica, questo non è stato un compito facile. Purtroppo, questo non è un evento isolato per Spotify.
"Spotify ha smentito l'esistenza di simili presunti hack che si sarebbero verificati a novembre 2015 e di nuovo lo scorso febbraio. Nel complesso, le dichiarazioni pubbliche di Spotify contraddicono le esperienze dei loro clienti. "- Kevin Shahbazi
Kevin non è sicuro del perché Spotify sia stato così veementemente opaco circa l'esistenza (o meno) di un hack, o se sia stato vittima di un errore dell'utente. Tuttavia, si preoccupa che "la loro mancanza di trasparenza danneggia solo il loro marchio, la loro reputazione e, soprattutto, i loro clienti".
Cosa possono fare gli utenti interessati?
Letteralmente centinaia di utenti sono stati colpiti dalla perdita. C'è una reale possibilità che altri account siano stati compromessi, ma non sono stati ancora trapelati. Ho chiesto a Kevin quali misure dovrebbero prendere gli utenti Spotify per proteggersi.
"Che siano hackerati o no, tutti gli utenti di Spotify dovrebbero essere consapevoli dei loro account. Per coloro le cui informazioni sono state compromesse, dovrebbero immediatamente modificare le loro informazioni di accesso per tutti gli account che utilizzano la stessa password, nonché monitorare eventuali account finanziari che potrebbero essere collegati a Spotify. Devono inoltre contattare Spotify per comunicare loro il problema con il proprio account e per ripristinarlo. "- Kevin Shahbazi
Kevin ha aggiunto che anche quelli che hanno la fortuna di non essere inclusi nella discarica di dati dovrebbero prendere precauzioni. Raccomanda a tutti gli utenti di reimpostare le proprie password e su tutti i dispositivi su cui Spotify è installato, gli utenti si disconnettono e quindi ricollegano. Ha anche sottolineato i pericoli di affidarsi a password duplicate.
"Questo è un altro caso in cui le password duplicate tornano a danneggiare coloro che cercano facilità di accesso a più account. Anche se può sembrare che le informazioni di accesso di Spotify siano state compromesse e tutti gli altri account siano sicuri, se è stata utilizzata una password duplicata, potrebbe essere utilizzata per accedere correttamente ad altri account che utilizzano tali informazioni, creando un effetto domino. "- Kevin Shahbazi
La prevenzione è meglio della cura
È impossibile per i consumatori impedire che i loro dati vengano trapelati da un servizio che utilizzano, poiché non è nelle loro mani. Il servizio deve avere buone pratiche di sicurezza e una buona igiene della password. Ma cosa possono fare i consumatori per limitare la loro esposizione a perdite future? Kevin ha nuovamente sottolineato che gli utenti dovrebbero evitare password duplicate e, laddove possibile, utilizzare l'autenticazione a due fattori.
"Un altro modo in cui i lettori possono garantire la sicurezza della propria password è forte utilizzando l'autenticazione a due fattori (2FA) Cos'è l'autenticazione a due fattori e perché dovresti usarla Cos'è l'autenticazione a due fattori e perché dovresti usarla due- l'autenticazione fattoriale (2FA) è un metodo di sicurezza che richiede due diversi modi per dimostrare la propria identità. È comunemente usato nella vita di tutti i giorni. Ad esempio, il pagamento con carta di credito non solo richiede la carta, ... Leggi di più, dove oltre a una password, gli utenti sono tenuti a fornire un'altra informazione, come un dito, un PIN o una domanda di sicurezza, che solo loro sarebbe in grado di fornire. "- Kevin Shahbazi
Non sorprende, Kevin raccomanda l'uso di un gestore di password, al fine di archiviare in modo sicuro le password complesse. Ha detto "un gestore di password Come i gestori di password mantengono le password sicure Come i gestori di password mantengono le password sicure Anche le password difficili da decifrare sono difficili da ricordare. Vuoi essere al sicuro? Hai bisogno di un gestore di password. Ecco come funzionano e come ti proteggono. Leggi altro è un modo semplice per impedire agli hacker di scatenare il caos nella tua vita. Queste codificano le password in un "vault" sicuro, a cui l'utente può accedere tramite una password principale. "Ha aggiunto che queste rendono più facile l'utilizzo di password complesse e sicure.
"Esistono molti gestori di password gratuiti e affidabili. Assicurati di utilizzarne uno affidabile. Molti di loro non si limitano a memorizzare semplicemente la password, quindi cerca quelli che usano "injection" per inserire le password nei campi corretti, piuttosto che semplicemente copiare e incollare dagli appunti. Questo ti aiuta ad evitare di essere attaccato tramite i keylogger. "- Kevin Shahbazi
Avvolgendo
Kevin, forse giustamente, è turbato dalla mite risposta di Spotify a centinaia di account degli utenti che vengono spruzzati su Pastebin. Resta da vedere se questa perdita è una tantum o se è indicativa di qualcosa di più grande che verrà.
Abbiamo cercato di metterci in contatto con Spotify per commentare questa storia, ma non siamo riusciti a farlo. Se ci sentiamo rispondere dalla società, aggiorneremo questo articolo con la sua risposta.
Crediti immagine: Vdovichenko Denis / Shutterstock.com