Propaganda

o mais recente vazamento do Spotify pode ser o mais estranho até agora. Centenas de contas foram espalhadas no Pastebin. Essas contas já foram acessadas, e muitas tiveram seus e-mails alterados. Mas não apenas não sabemos quem está por trás do vazamento, O Spotify é inflexível e não foi hackeado. Então o que realmente indo?

Para descobrir, conversei com Kevin Shahbazi, especialista em segurança e CEO da empresa de gerenciamento de senhas LogMeOnce. Kevin construiu um nome para o setor de segurança. Ele lançou várias empresas infosec diferentes, das quais uma - Trust Digital, especializada em segurança de smartphones em nível empresarial - adquirida pela McAfee em 2010.

A experiência de Kevin no campo da segurança é inegável, e eu queria descobrir o que ele fez com essa última violação de dados. Em meio a uma enxurrada de e-mails enviados na terça-feira à noite, informei-o sobre quem poderia estar por trás do vazamento, o que havia de errado com a resposta do Spotify e o que os usuários afetados podem fazer para se proteger.

A anatomia do vazamento

Quando o desastre de Ashley Madison estalou como um melão maduro Ashley Madison vazar não é grande coisa? Pense de novoO site discreto de namoro online Ashley Madison (direcionado principalmente para cônjuges trapaceiros) foi invadido. No entanto, esse é um problema muito mais sério do que o descrito na imprensa, com implicações consideráveis ​​para a segurança do usuário. consulte Mais informação , expôs os segredos sórdidos de milhões à Dark Web. O despejo de dados, medido em gigabytes, listava tudo, desde as informações biográficas dos registrantes do site até as preferências sexuais de nicho. Como o vazamento do Spotify se compara?

"Quanto à quantidade de dados vazados, houve apenas menção de que 'centenas' de contas não especificadas foram comprometidas. Informações da conta, como detalhes de pagamento e informações de cartão de crédito, não foram incluídas no vazamento, mas e-mails, nomes de usuário, senhas, tipo de conta e detalhes adicionais da conta foram. " - Kevin Shahbazi

Ainda não há informações sobre quem esteve por trás do ataque, embora ele tenha sido publicado por um usuário com o nome de "Drakia12‘Em Pastebin. Kevin está aberto à possibilidade de que o despejo em si não seja tão novo e, em vez disso, veio de contas que já haviam sido vazadas para a Dark Web Viagem à Web oculta: um guia para novos pesquisadoresEste manual o guiará pelos diversos níveis da deep web: bancos de dados e informações disponíveis em revistas acadêmicas. Finalmente, chegaremos aos portões de Tor. consulte Mais informação , e agora estão entrando em uma circulação mais ampla. Os logins do Spotify e outros sites de streaming como o Netflix estão disponíveis para compra nas partes mais obscuras da Internet e, de acordo com um relatório do McAfee Labs, esses logons são circulados continuamente por criminosos cibernéticos, uma vez comprometidos ".

Kevin também sugeriu que um ataque de "força bruta" pode estar por trás do vazamento, dizendo: "Outra fonte possível [do vazamento] é um programa usado para 'pentear' senhas ou apenas tentar várias combinações diferentes de senhas até encontrar a senha correta 1".

Isso parece improvável, já que a maioria dos serviços agora limita a quantidade de tentativas falhas de login que um usuário pode fazer. No entanto, não é impossível. Em 2009, as contas de Rick Sanchez, Bill O’Reilly e Britney Spears no Twitter foram comprometidos por hackers, e mensagens ofensivas foram postadas.

sancheztwitter

Esse ataque só foi possível porque, na época, o Twitter não limitava as tentativas de login e um administrador tinha uma senha de dicionário fraca (isso foi "felicidade").

Eu queria saber como esse vazamento se compara a outros vazamentos de alto perfil, como os vazamentos de Ashley Madison, PlayStation Network e Mate1. Kevin disse que, ao contrário de outros vazamentos notáveis, o Spotify não o "possui". Eles não estão assumindo responsabilidade. Ele acrescentou que eles também não estão "sendo proativos na proteção das informações de seus clientes". Shahbazi também se preocupa que o vazamento possa ser a abertura de algo muito maior.

“Ao publicar uma pequena amostra de dados, supostos hackers podem simplesmente querer colocar o Spotify em uma posição defensiva. Depois de um tempo, depois de ordenar a conta, eles provavelmente publicarão o restante do despejo de dados. Se esse for o objetivo deles, haverá mais vergonha, e os executivos poderão acabar perdendo suas posições no Spotify. ” - Kevin Shahbazi

Por que Spotify?

Talvez o mais intrigante sobre o hack do Spotify seja o fato de ser um alvo tão improvável. Para um cibercriminoso, o fascínio de um PayPal ou conta bancária online O serviço bancário on-line é seguro? Principalmente, mas aqui estão 5 riscos que você deve conhecerHá muito o que gostar nos serviços bancários online. É conveniente, pode simplificar sua vida, você pode até obter melhores taxas de economia. Mas o banco on-line é tão seguro quanto deveria ser? consulte Mais informação é inegável. Mas o Spotify não é uma instituição financeira. É um site de música. Perguntei a Kevin por que um hacker poderia ter como alvo.

“O valor em atacar o Spotify, ou outros serviços similares, varia de hacker para hacker. Nesse caso, a transparência parece ser o motivo mais provável por trás do recente vazamento, para mostrar ao público que seus as informações não são necessariamente seguras com a plataforma e, por fim, causam constrangimento à marca ". - Kevin Shahbazi

Muitas pessoas optam por vincular suas contas do Facebook ao Spotify. Isso simplifica o login e também adiciona uma dimensão social ao serviço. Os usuários podem compartilhar suas faixas favoritas com seus amigos e obter recomendações.

Perfil

Isso poderia levar a mais sofrimento para os usuários afetados? Potencialmente, disse Kevin. Especialmente se o usuário estiver usando uma senha duplicada.

“Senhas duplicadas (ou reutilização de uma única senha em diferentes serviços) podem ser um problema em potencial. Como agora qualquer pessoa pode acessar centenas de logins do Spotify, isso fornece a chave para quaisquer outras contas e serviços que usam a senha vazada). ” - Kevin Shahbazi

Resposta do Spotify

Dado o alto perfil do Spotify, era inevitável que a empresa acabasse enfrentando algum tipo de problema de segurança. Mas, neste caso, foi surpreendentemente indiferente a tudo.

“Embora [no passado] eles tenham sido proativos na redefinição de senhas de usuários para contas que parecem ter sido invadidas por hackers e disseram que costumam verificar sites como Pastebin para credenciais do Spotify, eles não fizeram isso com o suposto hack mais recente, apesar de centenas de credenciais do Spotify aparecerem on-line. ” - Kevin Shahbazi

Os clientes afetados tiveram que entrar em contato ativamente com o Spotify para recuperar o acesso a suas contas. De acordo com postagens no Twitter e vários artigos da imprensa de tecnologia, essa não foi uma tarefa fácil. Infelizmente, este não é um evento isolado para o Spotify.

“O Spotify negou a existência de supostos hackers semelhantes que supostamente ocorreram em novembro de 2015 e novamente em fevereiro passado. No geral, as declarações públicas do Spotify contradizem as experiências de seus clientes. " - Kevin Shahbazi

Kevin não sabe ao certo por que o Spotify tem sido tão veementemente opaco sobre a existência (ou não) de um hack ou se foi vítima de erro do usuário. No entanto, ele teme que "a falta de transparência deles esteja prejudicando apenas a marca, a reputação e, acima de tudo, os clientes".

O que os usuários afetados podem fazer?

Literalmente, centenas de usuários foram afetados pelo vazamento. Há uma possibilidade muito real de que mais contas tenham sido comprometidas, mas ainda não vazaram. Perguntei a Kevin que medidas os usuários do Spotify deveriam tomar para se proteger.

“Hackeados ou não, todos os usuários do Spotify devem conhecer suas contas. Para aqueles cujas informações foram comprometidas, eles devem alterar imediatamente suas informações de login para qualquer contas que utilizavam a mesma senha, além de monitorar quaisquer contas financeiras que possam estar vinculadas a Spotify. Eles também precisam entrar em contato com o Spotify para informá-lo sobre o problema em sua conta e para redefini-lo. ” - Kevin Shahbazi

Contas vazadas

Kevin acrescentou que aqueles que tiveram a sorte de não serem incluídos no despejo de dados também devem tomar precauções. Ele recomenda que todos os usuários redefinam suas senhas e, em todos os dispositivos em que o Spotify está instalado, os usuários se desconectem e depois entrem novamente. Ele também enfatizou os perigos de confiar em senhas duplicadas.

“Esse é outro caso em que as senhas duplicadas voltam a prejudicar quem procura facilidade de acesso a várias contas. Embora possa parecer que as informações de login do Spotify foram hackeadas e todas as outras contas estão seguras, se uma senha duplicada foi usado, poderia ser usado para fazer login com sucesso em outras contas utilizando essas informações, criando um efeito dominó ”. - Kevin Shahbazi

A prevenção é melhor que a cura

É impossível para os consumidores impedir que seus dados sejam vazados por um serviço que eles usam, pois eles não estão em suas mãos. O serviço deve ter boas práticas de segurança e boa higiene de senha. Mas o que os consumidores podem fazer para limitar sua exposição a vazamentos futuros? Kevin enfatizou novamente que os usuários devem evitar senhas duplicadas e, sempre que possível, usar autenticação de dois fatores.

“Outra maneira de os leitores garantirem a segurança de suas senhas é forte, utilizando autenticação de dois fatores (2FA) O que é autenticação de dois fatores e por que você deve usá-laA autenticação de dois fatores (2FA) é um método de segurança que requer duas maneiras diferentes de provar sua identidade. É comumente usado na vida cotidiana. Por exemplo, pagar com cartão de crédito não exige apenas o cartão, ... consulte Mais informação , onde, além de uma senha, os usuários devem fornecer outra informação, como uma impressão digital, PIN ou pergunta de segurança, que somente eles poderiam fornecer ". - Kevin Shahbazi

Sem surpresa, Kevin recomenda o uso de um gerenciador de senhas, para armazenar com segurança senhas complexas. Ele disse "um gerenciador de senhas Como os gerenciadores de senhas mantêm suas senhas segurasSenhas difíceis de decifrar também são difíceis de lembrar. Quer estar seguro? Você precisa de um gerenciador de senhas. Veja como eles funcionam e como eles mantêm você em segurança. consulte Mais informação é uma maneira simples de impedir que hackers causem estragos em sua vida. Essas senhas criptografadas em um 'cofre' seguro, que o usuário pode acessar por meio de uma senha mestra. " Ele acrescentou que isso facilita o uso de senhas seguras e complexas.

“Existem muitos gerenciadores de senhas confiáveis ​​e gratuitos. Verifique se você está usando um respeitável. Muitos deles fazem mais do que simplesmente armazenar sua senha, então procure aqueles que usam "injeção" para inserir senhas nos campos corretos, em vez de simplesmente copiar e colar da área de transferência. Isso ajuda a evitar ser atacado por keyloggers. ” - Kevin Shahbazi

Empacotando

Kevin, talvez com razão, está perturbado com a leve resposta do Spotify a centenas de suas contas de usuário sendo pulverizadas no Pastebin. Ainda não se sabe se esse vazamento é único ou se é indicativo de algo maior por vir.

Tentamos entrar em contato com o Spotify para comentar essa história, mas não conseguimos. Se recebermos notícias da empresa, atualizaremos este artigo com sua resposta.

Créditos da imagem: Vdovichenko Denis / Shutterstock.com

Matthew Hughes é desenvolvedor e escritor de software de Liverpool, Inglaterra. Ele raramente é encontrado sem uma xícara de café preto forte na mão e adora absolutamente o Macbook Pro e a câmera. Você pode ler o blog dele em http://www.matthewhughes.co.uk e siga-o no twitter em @matthewhughes.