İlan

En son Spotify sızıntısı henüz en garip olanı olabilir. Pastebin'e yüzlerce hesap sıçradı. Bu hesaplara zaten erişildi ve birçoğunun e-postaları değişti. Ama sadece sızıntının arkasında kimin olduğunu bilmiyoruz, Spotify, saldırıya uğramadığından emin. Yani ne Gerçekten mi devam ediyor mu?

Öğrenmek için, güvenlik uzmanı ve şifre yönetim firmasının CEO'su Kevin Shahbazi ile bir sohbet ayarladım LogMeOnce. Kevin kendini güvenlik sektöründe bir isim yaptı. Biri - kurumsal düzeyde akıllı telefon güvenliği konusunda uzmanlaşmış Trust Digital - olan birkaç farklı infosec şirketi kurdu. McAfee tarafından 2010 yılında satın alındı.

Kevin’in güvenlik alanındaki uzmanlığı yadsınamaz ve bu son veri ihlali nedeniyle ne yaptığını öğrenmek istedim. Salı akşamı gönderilen bir e-posta telaşından dolayı, sızıntının arkasında kimin olabileceği, Spotify'ın yanıtında neyin yanlış olduğu ve etkilenen kullanıcıların kendilerini korumak için neler yapabileceği konusunda ızgara yaptım.

Sızıntı Anatomisi

Ashley Madison çöktüğünde

instagram viewer
olgunlaşmış bir kavun gibi attı Ashley Madison Sızıntı Yok Büyük Anlaşma? Tekrar düşünSağduyulu çevrimiçi tanışma sitesi Ashley Madison (öncelikle hile eşlerini hedefleyen) saldırıya uğradı. Ancak bu, kullanıcı güvenliğini önemli ölçüde etkileyecek şekilde basında tasvir edilenden çok daha ciddi bir konudur. Daha fazla oku , milyonlarca sordid sırlarını Karanlık ağa maruz bıraktı. Gigabaytlarla ölçülen veri dökümü, sitenin kayıt sahiplerinin biyografik bilgilerinden niş cinsel tercihlerine kadar her şeyi listeledi. Spotify sızıntısı nasıl karşılaştırılır?

“Ne kadar verinin sızdırıldığı konusunda yalnızca belirtilmemiş bir“ yüzlerce ”hesabın ele geçirildiğinden bahsedildi. Ödeme bilgileri ve kredi kartı bilgileri gibi hesap bilgileri sızıntıya dahil edilmedi, ancak e-postalar, kullanıcı adları, şifreler, hesap türü ve ek hesap bilgileri vardı. ” - Kevin Shahbazi

Bir kullanıcı tarafından ‘adıyla yayınlanmış olmasına rağmen, saldırının arkasında kimin olduğu hakkında hala bilgi yok.Drakia12Pas Pastebin üzerinde. Kevin, çöplüğün kendisi o kadar yeni olmayabilir ve bunun yerine zaten sızdırılmış olan hesaplardan geldi. Karanlık Ağ Gizli Web'e Yolculuk: Yeni Araştırmacılar İçin Bir KılavuzBu el kitabı sizi derin web'in birçok düzeyinde gezdirecektir: veritabanları ve akademik dergilerde bulunan bilgiler. Sonunda Tor'un kapılarına ulaşacağız. Daha fazla oku ve şimdi daha geniş bir tiraja giriyor. Spotify ve Netflix gibi diğer akış siteleri için girişler, İnternet'in daha karanlık kısımlarından satın alınabilir ve McAfee Labs raporu, bu girişler tehlikeye girdikten sonra siber suçlular tarafından sürekli olarak dolaşır ”.

Kevin ayrıca sızıntının arkasında bir “kaba kuvvet” saldırısının olabileceğini, “Kaçağın bir başka olası kaynağı” Program, şifrelerle "taramak" veya yalnızca doğru olana kadar birden çok farklı şifre kombinasyonu denemek için kullanılır bir".

Çoğu hizmet artık bir kullanıcının yapabileceği başarısız oturum açma girişimi miktarını sınırladığından, bu olası görünmemektedir. Ancak imkansız değil. 2009'da Rick Sanchez, Bill O’Reilly ve Britney Spears'ın Twitter hesapları bilgisayar korsanları tarafından ele geçirildive rahatsız edici mesajlar yayınlandı.

sancheztwitter

Bu saldırı yalnızca, o sırada Twitter giriş denemelerini sınırlamadığı ve bir yöneticinin zayıf bir sözlük şifresi (öyleydi "mutluluk").

Bu sızıntının Ashley Madison, PlayStation Network ve Mate1 sızıntıları gibi diğer yüksek profilli sızıntılara kıyasla nasıl olduğunu bilmek istedim. Kevin diğer kayda değer sızıntılardan farklı olarak Spotify'ın buna “sahip olmadığını” söyledi. Sorumluluk almıyorlar. Ayrıca, “müşterilerinin bilgilerini koruma konusunda proaktif olduklarını” da ekledi. Shahbazi, sızıntının çok daha büyük bir şeyin devralması olabileceğinden endişe ediyor.

“Bilgisayar korsanlarının Spotify'ı savunma pozisyonuna almak istediği iddia edilen küçük bir veri örneği yayınlayarak. Kısa bir süre sonra, hesabı sağladıktan sonra, geri kalan veri dökümünü yayınlayacaklar. Amaçları buysa, daha fazla utanç gelecek ve yöneticiler Spotify'daki pozisyonlarını kaybedebilirler. ” - Kevin Shahbazi

Neden Spotify?

Belki de Spotify hack'iyle ilgili en şaşırtıcı şey, bu kadar olası bir hedef olmasıdır. Bir siber suçlu için, tehlikeye atılan bir PayPal'ın cazibesi veya online bankacılık hesabı İnternet Şubesi Güvenli mi? Çoğunlukla, Ama İşte Bilmeniz Gereken 5 Riskİnternet bankacılığıyla ilgili sevilecek çok şey var. Uygun, hayatınızı basitleştirebilir, hatta daha iyi tasarruf oranları elde edebilirsiniz. Ancak çevrimiçi bankacılık olması gerektiği kadar güvenli mi? Daha fazla oku yadsınamaz. Ancak Spotify bir finans kurumu değil. Bu bir müzik sitesi. Kevin'e bir bilgisayar korsanının neden hedefleyebileceğini sordum.

“Spotify'a veya diğer benzer hizmetlere saldırmanın değeri bilgisayar korsanından bilgisayar korsanına değişir. Bu durumda, şeffaflık, son sızıntının arkasındaki en olası neden gibi görünüyor ve halka bilgi, platformla güvenli olmak zorunda değildir ve nihayetinde marka için utanç yaratır. ” - Kevin Shahbazi

Birçok kişi Facebook hesaplarını Spotify ile ilişkilendirmeyi tercih ediyor. Bu, oturum açmayı basitleştirir ve hizmete sosyal bir boyut ekler. Kullanıcılar en sevdikleri parçaları arkadaşlarıyla paylaşabilir ve öneriler alabilirler.

Profil

Bu, etkilenen kullanıcılar için daha fazla acıya yol açabilir mi? Potansiyel olarak, dedi Kevin. Özellikle kullanıcı yinelenen bir şifre kullanıyorsa.

“Yinelenen şifreler (veya farklı hizmetler arasında tek bir şifrenin tekrar kullanılması) potansiyel bir sorun olabilir. Artık herkes yüzlerce Spotify girişine erişebildiğinden, bu onlara sızdırılan şifreyi kullanan diğer hesapların ve hizmetlerin anahtarıdır). ” - Kevin Shahbazi

Spotify’ın Yanıtı

Spotify’ın yüksek profili göz önüne alındığında, şirketin sonunda bir tür güvenlik sorunu yaşaması kaçınılmazdı. Ancak bu durumda, şaşırtıcı bir şekilde her şey hakkında rahatsız edici değildi.

“[Geçmişte] saldırıya uğramış gibi görünen hesaplar için kullanıcı şifrelerini sıfırlama konusunda proaktif oldular ve genellikle aşağıdaki siteleri taradıklarını söylediler Spotify kimlik bilgileri için Pastebin, çevrimiçi görünen yüzlerce Spotify kimlik bilgisine rağmen, en son iddia edilen saldırı ile bunu yapmadılar. ” - Kevin Shahbazi

Etkilenen müşteriler, hesaplarına tekrar erişim kazanmak için Spotify'a aktif olarak ulaşmak zorunda kaldı. Twitter'daki yayınlara ve teknoloji basındaki çeşitli makalelere göre, bu kolay bir iş değildi. Ne yazık ki, bu Spotify için izole bir olay değil.

“Spotify, Kasım 2015'te tekrar tekrar meydana geldiği iddia edilen benzer iddiaların olduğu iddialarını reddetti geçen Şubat. Genel olarak, Spotify’ın herkese açık beyanları müşterilerinin deneyimleriyle çelişiyor. ” - Kevin Shahbazi

Kevin, Spotify'ın neden bir hack'in varlığı (veya başka bir şekilde) veya kullanıcı hatasının kurbanı olup olmadığı konusunda bu kadar opak olduğundan emin değil. Ancak, “şeffaflık eksikliğinin sadece markalarına, itibarına ve en önemlisi müşterilerine zarar verdiğinden” endişe ediyor.

Etkilenen Kullanıcılar Ne Yapabilir?

Kelimenin tam anlamıyla yüzlerce kullanıcı sızıntıdan etkilendi. Daha fazla hesabın ele geçirildiği, ancak henüz sızdırılmadığı çok gerçek bir olasılık var. Kevin'e Spotify kullanıcılarının kendilerini korumak için ne yapmaları gerektiğini sordum.

“Saldırı olsun veya olmasın, tüm Spotify kullanıcıları hesaplarının farkında olmalıdır. Bilgileri tehlikeye atılanlar için giriş bilgilerini hemen değiştirmelidirler. aynı şifreyi kullanan hesapların yanı sıra, Spotify. Hesaplarındaki sorunu bildirmek ve sıfırlamak için Spotify ile iletişime geçmeleri gerekiyor. ” - Kevin Shahbazi

LeakedAccounts

Kevin, veri dökümünde yer almayacak kadar şanslı olanların da önlem alması gerektiğini sözlerine ekledi. Tüm kullanıcıların şifrelerini sıfırlamasını ve Spotify'ın yüklü olduğu tüm cihazlarda kullanıcıların oturumlarını kapatıp tekrar oturum açmasını önerir. Ayrıca yinelenen parolalara güvenmenin tehlikelerini de vurguladı.

“Bu, yinelenen şifrelerin birden fazla hesaba erişim kolaylığı arayanlara zarar vermek için geri geldiği başka bir durum. Yinelenen bir şifre olsaydı, Spotify’ın giriş bilgileri saldırıya uğramış ve diğer tüm hesaplar güvende gibi görünebilir kullanıldıysa, domino efekti oluşturarak bu bilgileri kullanarak diğer hesaplara başarıyla giriş yapmak için kullanılabilir. ” - Kevin Shahbazi

Önleme Tedaviden Daha İyi

Tüketicilerin ellerinde olmadığı için verilerinin kullandıkları bir hizmetten sızdırılmasını önlemek mümkün değildir. Hizmet, iyi güvenlik uygulamalarına ve iyi parola hijyenine sahip olmalıdır. Ancak tüketiciler gelecekteki sızıntılara maruz kalmalarını sınırlamak için ne yapabilir? Kevin, kullanıcıların yinelenen şifrelerden kaçınmaları gerektiğini ve mümkün olduğunda iki faktörlü kimlik doğrulamayı kullanmaları gerektiğini vurguladı.

“Okuyucuların şifre güvenliğinin güçlü olmasını sağlamanın başka bir yolu da iki faktörlü kimlik doğrulama (2FA) İki Faktörlü Kimlik Doğrulama Nedir ve Neden Kullanmalısınız?İki faktörlü kimlik doğrulama (2FA), kimliğinizi kanıtlamanın iki farklı yolunu gerektiren bir güvenlik yöntemidir. Günlük yaşamda yaygın olarak kullanılır. Örneğin, bir kredi kartıyla ödeme yapmak için sadece kart değil, ... Daha fazla oku , bir şifreye ek olarak, kullanıcıların başka bir bilgi vermesi gerekir; yalnızca sağlayabilecekleri bir parmak izi, PIN veya güvenlik sorusu. ” - Kevin Shahbazi

Şaşırtıcı olmayan bir şekilde, Kevin karmaşık şifreleri güvenli bir şekilde saklamak için bir şifre yöneticisi kullanılmasını önerir. Dedi ki “bir şifre yöneticisi Parola Yöneticileri Parolalarınızı Nasıl Güvende tutar?Kırılması zor parolaları da hatırlamak zordur. Güvende olmak ister misiniz? Bir şifre yöneticisine ihtiyacınız var. İşte nasıl çalıştıkları ve sizi nasıl güvende tuttukları. Daha fazla oku bilgisayar korsanlarının hayatınıza zarar vermesini önlemenin basit bir yoludur. Bunlar şifreleri, kullanıcının tek bir ana şifre ile erişebileceği güvenli bir "kasa" içinde şifreler. ” Bunların güvenli ve karmaşık parolaların kullanımını kolaylaştırdığını da sözlerine ekledi.

“Birçok ücretsiz, güvenilir şifre yöneticisi var. Saygın bir tane kullandığınızdan emin olun. Birçoğu sadece şifrenizi saklamaktan daha fazlasını yapar, bu yüzden panoya kopyalayıp yapıştırmak yerine doğru alanlara şifre eklemek için “enjeksiyon” kullananları arayın. Bu, keylogger'lar tarafından saldırıya uğramaktan kaçınmanıza yardımcı olur. ” - Kevin Shahbazi

Paketleme

Kevin, belki de haklı olarak, Spotify'ın yüzlerce kullanıcı hesabının Pastebin'e püskürtülmesine verdiği hafif yanıttan rahatsız. Bu sızıntının bir defalık olup olmadığı veya daha büyük bir şeyin göstergesi olup olmadığı görülüyor.

Bu hikaye hakkında yorum yapmak için Spotify ile iletişime geçmeye çalıştık, ancak yapamadık. Şirketten haber alırsak, bu makaleyi yanıtıyla güncelleyeceğiz.

Resim Kredileri: Vdovichenko Denis / Shutterstock.com

Matthew Hughes, Liverpool, İngiltere'den bir yazılım geliştiricisi ve yazarıdır. Elinde bir fincan güçlü siyah kahve olmadan nadiren bulunur ve kesinlikle Macbook Pro ve kamerasına hayran kalır. Blogunu şurada okuyabilirsiniz: http://www.matthewhughes.co.uk ve @matthewhughes'da Twitter'da onu takip edin.