Werbung

Das letztes Spotify-Leck könnte der bisher seltsamste sein. Hunderte von Konten wurden auf Pastebin verteilt. Auf diese Konten wurde bereits zugegriffen, und bei vielen wurde die E-Mail geändert. Aber wir wissen nicht nur nicht, wer hinter dem Leck steckt, Spotify ist fest davon überzeugt, dass es nicht gehackt wurde. Also, was ist? Ja wirklich los?

Um dies herauszufinden, arrangierte ich ein Gespräch mit Kevin Shahbazi, Sicherheitsexperte und CEO der Passwortverwaltungsfirma LogMeOnce. Kevin hat sich in der Sicherheitsbranche einen Namen gemacht. Er hat mehrere verschiedene Infosec-Unternehmen gegründet, darunter Trust Digital, das sich auf die Sicherheit von Smartphones auf Unternehmensebene spezialisiert hat 2010 von McAfee übernommen.

Das Know-how von Kevin im Sicherheitsbereich ist unbestreitbar, und ich wollte herausfinden, was er aus dieser neuesten Datenverletzung gemacht hat. In einer Flut von E-Mails, die an einem Dienstagabend gesendet wurden, habe ich ihn darüber informiert, wer möglicherweise hinter dem Leck steckt, was mit der Antwort von Spotify so falsch war und was betroffene Benutzer tun können, um sich selbst zu schützen.

instagram viewer

Die Anatomie des Lecks

Beim Ashley Madison Debakel knallte wie eine überreife Melone Ashley Madison Leak Keine große Sache? Denk nochmalDie diskrete Online-Dating-Website Ashley Madison (die sich hauptsächlich an betrügerische Ehepartner richtet) wurde gehackt. Dies ist jedoch ein weitaus schwerwiegenderes Problem als in der Presse dargestellt, mit erheblichen Auswirkungen auf die Benutzersicherheit. Weiterlesen Es enthüllte die schmutzigen Geheimnisse von Millionen im dunklen Netz. Der Daten-Dump, der in Gigabyte gemessen wurde, listete alles auf, von den biografischen Informationen der Registranten der Website bis hin zu ihren sexuellen Nischenpräferenzen. Wie vergleicht sich das Spotify-Leck?

„In Bezug auf die Anzahl der durchgesickerten Daten wurde nur erwähnt, dass nicht spezifizierte„ Hunderte “von Konten kompromittiert wurden. Kontoinformationen wie Zahlungsdetails und Kreditkarteninformationen waren nicht im Leck enthalten. Aber E-Mails, Benutzernamen, Passwörter, Kontotyp und zusätzliche Kontodetails waren es. “ - Kevin Shahbazi

Es gibt immer noch keine Informationen darüber, wer hinter dem Angriff steckt, obwohl er von einem Benutzer mit dem Namen "Drakia12Auf Pastebin. Kevin ist offen für die Möglichkeit, dass der Dump selbst nicht ganz so neu ist und stattdessen von Konten stammt, auf die bereits durchgesickert war das dunkle Netz Reise ins versteckte Web: Ein Leitfaden für neue ForscherDieses Handbuch führt Sie durch die vielen Ebenen des Deep Web: Datenbanken und Informationen, die in Fachzeitschriften verfügbar sind. Schließlich erreichen wir die Tore von Tor. Weiterlesen und treten nun in eine größere Auflage ein. Logins für Spotify und andere Streaming-Sites wie Netflix können in den düstereren Teilen des Internets erworben werden einen McAfee Labs-Berichtwerden diese Anmeldungen von Cyberkriminellen kontinuierlich verbreitet, sobald sie kompromittiert wurden. “

Kevin deutete auch an, dass sich hinter dem Leck ein „Brute Force“ -Angriff befinden könnte, und sagte: „Eine weitere mögliche Quelle [des Lecks] ist a Programm zum Kämmen von Passwörtern oder zum Versuch mehrerer verschiedener Passwortkombinationen, bis das richtige gefunden wird ein".

Dies scheint unwahrscheinlich, da die meisten Dienste jetzt die Anzahl der fehlgeschlagenen Anmeldeversuche begrenzen, die ein Benutzer ausführen kann. Dies ist jedoch nicht unmöglich. Im Jahr 2009 die Twitter-Accounts von Rick Sanchez, Bill O’Reilly und Britney Spears wurden von Hackern kompromittiertund beleidigende Nachrichten wurden gepostet.

sancheztwitter

Dieser Angriff war nur möglich, weil Twitter zu diesem Zeitpunkt die Anmeldeversuche nicht einschränkte und ein Administrator ein schwaches Wörterbuchkennwort hatte (es war "Glück").

Ich wollte wissen, wie dieses Leck im Vergleich zu anderen bekannten Lecks wie Ashley Madison, PlayStation Network und Mate1 leckt. Kevin sagte, dass Spotify es im Gegensatz zu anderen bemerkenswerten Lecks nicht "besitzt". Sie übernehmen keine Verantwortung. Er fügte hinzu, dass sie "nicht proaktiv die Informationen ihrer Kunden schützen". Shahbazi befürchtet auch, dass die Leckage die Ouvertüre von etwas viel Größerem sein könnte.

„Durch die Veröffentlichung einer kleinen Stichprobe von Daten wollten mutmaßliche Hacker Spotify möglicherweise einfach in eine defensive Position bringen. Nach kurzer Zeit, nachdem sie das Konto gemolken haben, werden sie wahrscheinlich den Rest des Datendumps veröffentlichen. Wenn dies ihr Ziel ist, wird es noch peinlicher, und Führungskräfte könnten ihre Positionen bei Spotify verlieren. “ - Kevin Shahbazi

Warum Spotify?

Am verwirrendsten am Spotify-Hack ist vielleicht, dass es sich um ein so unwahrscheinliches Ziel handelt. Für einen Cyberkriminellen ist der Reiz eines kompromittierten PayPal oder Online-Banking-Konto Ist Online-Banking sicher? Meistens, aber hier sind 5 Risiken, die Sie kennen solltenOnline-Banking hat viel zu bieten. Es ist praktisch, kann Ihr Leben vereinfachen, Sie können sogar bessere Sparquoten erhalten. Aber ist Online-Banking so sicher und sicher, wie es sein sollte? Weiterlesen ist nicht zu leugnen. Spotify ist jedoch kein Finanzinstitut. Es ist eine Musikwebsite. Ich fragte Kevin, warum ein Hacker darauf abzielen könnte.

„Der Wert beim Angriff auf Spotify oder andere ähnliche Dienste variiert von Hacker zu Hacker. In diesem Fall scheint Transparenz das wahrscheinlichste Motiv für das jüngste Leck zu sein, um der Öffentlichkeit zu zeigen, dass ihre Informationen sind auf der Plattform nicht unbedingt sicher und führen letztendlich zu einer Verlegenheit für die Marke. " - Kevin Shahbazi

Viele Menschen verknüpfen ihre Facebook-Konten mit Spotify. Dies vereinfacht die Anmeldung und fügt dem Service eine soziale Dimension hinzu. Benutzer können ihre Lieblingstitel mit ihren Freunden teilen und Empfehlungen erhalten.

Profil

Könnte dies zu weiteren Schmerzen für betroffene Benutzer führen? Möglicherweise sagte Kevin. Insbesondere, wenn der Benutzer ein doppeltes Passwort verwendet.

„Doppelte Kennwörter (oder die Wiederverwendung eines einzelnen Kennworts für verschiedene Dienste) können ein potenzielles Problem sein. Da jetzt jeder auf Hunderte von Spotify-Anmeldungen zugreifen kann, erhält er den Schlüssel zu allen anderen Konten und Diensten, die das durchgesickerte Kennwort verwenden. “ - Kevin Shahbazi

Antwort von Spotify

Angesichts des hohen Bekanntheitsgrades von Spotify war es unvermeidlich, dass das Unternehmen irgendwann ein Sicherheitsproblem hatte. Aber in diesem Fall war es in allem überraschend lässig.

„Während [in der Vergangenheit] haben sie Benutzerpasswörter für Konten, die gehackt zu sein scheinen, proaktiv zurückgesetzt und gesagt, dass sie häufig Websites wie scannen Pastebin für Spotify-Anmeldeinformationen haben dies mit dem letzten mutmaßlichen Hack nicht getan, obwohl Hunderte von Spotify-Anmeldeinformationen online angezeigt wurden. " - Kevin Shahbazi

Betroffene Kunden mussten sich aktiv an Spotify wenden, um wieder auf ihre Konten zugreifen zu können. Laut Beiträgen auf Twitter und verschiedenen Artikeln in der Technologiepresse war dies keine leichte Aufgabe. Leider ist dies kein Einzelfall für Spotify.

„Spotify hat die Existenz ähnlicher angeblicher Hacks bestritten, die angeblich im November 2015 und erneut stattgefunden haben im vergangenen Februar. Insgesamt widersprechen die öffentlichen Aussagen von Spotify den Erfahrungen ihrer Kunden. “ - Kevin Shahbazi

Kevin ist sich nicht sicher, warum Spotify so vehement undurchsichtig in Bezug auf die Existenz (oder auf andere Weise) eines Hacks war oder ob es das Opfer eines Benutzerfehlers war. Er befürchtet jedoch, dass „ihre mangelnde Transparenz nur ihrer Marke, ihrem Ruf und vor allem ihren Kunden schadet“.

Was können betroffene Benutzer tun?

Buchstäblich Hunderte von Benutzern sind von der Leckage betroffen. Es besteht die sehr reale Möglichkeit, dass mehr Konten kompromittiert wurden, aber noch nicht durchgesickert sind. Ich fragte Kevin, welche Maßnahmen Spotify-Benutzer ergreifen sollten, um sich selbst zu schützen.

„Unabhängig davon, ob gehackt oder nicht, sollten alle Spotify-Benutzer ihre Konten kennen. Für diejenigen, deren Informationen kompromittiert wurden, sollten sie ihre Anmeldeinformationen sofort ändern Konten, die dasselbe Kennwort verwendet haben, sowie alle Finanzkonten, mit denen möglicherweise eine Verknüpfung besteht Spotify. Sie müssen sich auch an Spotify wenden, um sie über das Problem mit ihrem Konto zu informieren und es zurückzusetzen. “ - Kevin Shahbazi

Durchgesickerte Konten

Kevin fügte hinzu, dass diejenigen, die das Glück hatten, nicht in den Datendump aufgenommen zu werden, ebenfalls Vorsichtsmaßnahmen treffen sollten. Er empfiehlt allen Benutzern, ihre Kennwörter zurückzusetzen. Auf allen Geräten, auf denen Spotify installiert ist, melden sich Benutzer ab und melden sich dann wieder an. Er betonte auch die Gefahren, sich auf doppelte Passwörter zu verlassen.

„Dies ist ein weiterer Fall, in dem doppelte Passwörter zurückkommen, um denjenigen zu schaden, die einen einfachen Zugriff auf mehrere Konten suchen. Es scheint zwar nur so, als ob die Anmeldeinformationen von Spotify gehackt wurden und alle anderen Konten sicher sind, wenn ein doppeltes Passwort vorhanden war Mit dieser Funktion können Sie sich erfolgreich bei anderen Konten anmelden und diese Informationen verwenden, wodurch ein Dominoeffekt entsteht. “ - Kevin Shahbazi

Vorbeugen ist besser als heilen

Es ist für Verbraucher unmöglich zu verhindern, dass ihre Daten durch einen von ihnen genutzten Dienst verloren gehen, da sie nicht in ihren Händen liegen. Der Service muss über gute Sicherheitspraktiken und eine gute Passworthygiene verfügen. Aber was können Verbraucher tun, um ihre Exposition gegenüber zukünftigen Leckagen zu begrenzen? Kevin betonte erneut, dass Benutzer doppelte Passwörter vermeiden und nach Möglichkeit die Zwei-Faktor-Authentifizierung verwenden sollten.

„Eine andere Möglichkeit für Leser, die Sicherheit ihres Passworts zu gewährleisten, ist die Verwendung Zwei-Faktor-Authentifizierung (2FA) Was ist eine Zwei-Faktor-Authentifizierung und warum sollten Sie sie verwenden?Die Zwei-Faktor-Authentifizierung (2FA) ist eine Sicherheitsmethode, die zwei verschiedene Methoden zum Nachweis Ihrer Identität erfordert. Es wird häufig im Alltag verwendet. Zum Beispiel erfordert das Bezahlen mit einer Kreditkarte nicht nur die Karte, ... Weiterlesen , wo Benutzer zusätzlich zu einem Passwort eine weitere Information angeben müssen, wie z einen Fingerabdruck, eine PIN oder eine Sicherheitsfrage, die nur sie bereitstellen können. “ - Kevin Shahbazi

Es überrascht nicht, dass Kevin die Verwendung eines Passwort-Managers empfiehlt, um komplexe Passwörter sicher zu speichern. Er sagte "ein Passwort-Manager Wie Passwortmanager Ihre Passwörter schützenPasswörter, die schwer zu knacken sind, sind ebenfalls schwer zu merken. Willst du sicher sein? Sie benötigen einen Passwort-Manager. Hier erfahren Sie, wie sie funktionieren und wie sie Sie schützen. Weiterlesen ist eine einfache Möglichkeit, um zu verhindern, dass Hacker Ihr Leben zerstören. Diese verschlüsseln Passwörter in einem sicheren "Tresor", auf den der Benutzer über ein Hauptkennwort zugreifen kann. " Er fügte hinzu, dass dies die Verwendung sicherer, komplexer Passwörter erleichtert.

„Es gibt viele kostenlose, zuverlässige Passwortmanager. Stellen Sie sicher, dass Sie einen seriösen verwenden. Viele von ihnen speichern nicht nur Ihr Passwort, sondern suchen auch nach Passwörtern, bei denen Passwörter in die richtigen Felder eingefügt werden, anstatt sie einfach aus der Zwischenablage zu kopieren und einzufügen. Auf diese Weise können Sie vermeiden, über Keylogger angegriffen zu werden. “ - Kevin Shahbazi

Einpacken

Kevin ist vielleicht zu Recht beunruhigt über die milde Reaktion von Spotify auf Hunderte ihrer Benutzerkonten, die auf Pastebin gesprüht werden. Es bleibt abzuwarten, ob dieses Leck einmalig ist oder auf etwas Größeres hinweist.

Wir haben versucht, Spotify zu kontaktieren, um einen Kommentar zu dieser Geschichte zu erhalten, konnten dies jedoch nicht. Wenn wir eine Rückmeldung vom Unternehmen erhalten, aktualisieren wir diesen Artikel mit seiner Antwort.

Bildnachweis: Vdovichenko Denis / Shutterstock.com

Matthew Hughes ist ein Softwareentwickler und Autor aus Liverpool, England. Er wird selten ohne eine Tasse starken schwarzen Kaffee in der Hand gefunden und liebt sein Macbook Pro und seine Kamera. Sie können seinen Blog unter lesen http://www.matthewhughes.co.uk und folge ihm auf Twitter unter @matthewhughes.