Het nieuwste Spotify-lek is misschien wel de vreemdste. Honderden accounts zijn bespat op Pastebin. Deze accounts zijn al geopend en velen hebben hun e-mails gewijzigd. Maar niet alleen weten we niet wie er achter het lek zit, Spotify is onvermurwbaar en niet gehackt. Wat is er eigenlijk aan de hand?
Om daar achter te komen, regelde ik een gesprek met Kevin Shahbazi, beveiligingsdeskundige en CEO van LogMeOnce, een bedrijf voor wachtwoordbeheer. Kevin heeft een naam opgebouwd in de beveiligingsindustrie. Hij heeft verschillende infosec-bedrijven gelanceerd, waarvan één - Trust Digital, die gespecialiseerd is in smartphonebeveiliging op ondernemingsniveau - in 2010 werd overgenomen door McAfee.
Kevin's expertise op het gebied van beveiliging is onmiskenbaar en ik wilde weten wat hij van deze nieuwste inbreuk op de gegevens maakte. In een stortvloed aan e-mails die ik dinsdagavond heb gestuurd, heb ik hem gegrild over wie er misschien achter het lekken zit, wat er zo mis is met de reactie van Spotify en wat de getroffen gebruikers kunnen doen om zichzelf te beschermen.
De anatomie van het lek
Toen het Ashley Madison debacle knalde als een overrijpe meloen Ashley Madison Leak No Big Deal? Think Again Ashley Madison Leak No Big Deal? Think Again Discreet online datingsite Ashley Madison (voornamelijk gericht op vals spelende echtgenoten) is gehackt. Dit is echter een veel ernstiger probleem dan in de pers is verbeeld, met aanzienlijke gevolgen voor de gebruikersveiligheid. Lees Meer, het openbaarde de gemene geheimen van miljoenen op het Dark web. De gegevensdump, gemeten in de gigabytes, somde alles op, van de biografische informatie van de registranten van de site tot zelfs hun seksuele voorkeuren. Hoe vergelijkt het Spotify-lek?
"Voor zover er gegevens zijn gelekt, is er alleen sprake van dat een niet-gespecificeerde 'honderden' accounts in gevaar zijn gebracht. Accountgegevens zoals betalingsgegevens en creditcardgegevens waren niet opgenomen in het lek, maar e-mails, gebruikersnamen, wachtwoorden, accounttype en aanvullende accountgegevens waren. "- Kevin Shahbazi
Er is nog steeds geen informatie over wie er achter de aanval zat, hoewel deze door een gebruiker werd gepubliceerd onder de naam ' Drakia12 ' op Pastebin. Kevin staat open voor de mogelijkheid dat de dump zelf misschien niet zo nieuw is, en in plaats daarvan kwam van accounts die al waren gelekt op de Dark Web Journey Into The Hidden Web: een gids voor nieuwe onderzoekers Journey Into The Hidden Web: een gids Voor nieuwe onderzoekers Deze handleiding neemt je mee op een reis door de vele niveaus van het deep web: databases en informatie beschikbaar in wetenschappelijke tijdschriften. Uiteindelijk komen we aan bij de poorten van Tor. Read More, en komen nu in een bredere oplage. Aanmeldingen voor Spotify en andere streaming-sites zoals Netflix zijn beschikbaar om te kopen op de murkier-delen van het internet, en volgens een McAfee Labs-rapport worden deze logins continu verspreid door cybercriminelen zodra ze zijn aangetast ".
Kevin liet ook doorschemeren dat een "brute force" -aanval mogelijk achter het lek zou zitten, zeggende: "Een andere mogelijke bron [van het lek] is een programma dat wordt gebruikt om door wachtwoorden te 'kammen', of alleen meerdere wachtwoordcombinaties probeert totdat het de juiste vindt een".
Dit lijkt onwaarschijnlijk, omdat de meeste services nu het aantal mislukte inlogpogingen van een gebruiker beperken. Het is echter niet onmogelijk. In 2009 werden de Twitter-accounts van Rick Sanchez, Bill O'Reilly en Britney Spears gecompromitteerd door hackers en werden aanstootgevende berichten geplaatst.
Deze aanval was alleen mogelijk omdat Twitter in die tijd de inlogpogingen niet beperkte en een beheerder een zwak wachtwoord voor het woordenboek had (het was "geluk" ).
Ik wilde weten hoe dit lek in vergelijking met andere opvallende lekken, zoals de Ashley Madison, PlayStation Network en Mate1, lekt. Kevin zei dat in tegenstelling tot andere andere opvallende lekken, Spotify het niet "bezit". Ze nemen geen verantwoordelijkheid. Noch, voegde hij eraan toe, zijn ze "proactief in het beschermen van de informatie van hun klanten". Shahbazi maakt zich ook zorgen dat de lekkage de ouverture zou kunnen zijn van iets veel groters.
"Door een kleine steekproef van gegevens te publiceren, zouden vermeende hackers simpelweg Spotify in een defensieve positie willen brengen. Na een korte tijd, nadat ze het account hebben gemolken, zullen ze waarschijnlijk de rest van de gegevensverzameling publiceren. Als dat hun doel is, zal er meer verlegenheid komen en zouden leidinggevenden uiteindelijk hun posities bij Spotify kunnen verliezen. "- Kevin Shahbazi
Waarom Spotify?
Misschien is het meest verwarrend over de Spotify-hack dat het zo'n onwaarschijnlijk doelwit is. Voor een cybercrimineel is de allure van een gecompromitteerde PayPal- of internetbankrekening Veilig online bankieren? Meestal, maar hier zijn 5 risico's die u moet weten Is online bankieren veilig? Meestal, maar hier zijn 5 risico's die u moet weten Er is veel te leuk over online bankieren. Het is handig, kan je leven vereenvoudigen, je kunt zelfs betere spaarpercentages krijgen. Maar is online bankieren zo veilig en veilig als het zou moeten zijn? Meer lezen is niet te ontkennen. Maar Spotify is geen financiële instelling. Het is een muziekwebsite. Ik vroeg Kevin waarom een hacker het zou kunnen richten.
"De waarde van het aanvallen van Spotify of andere vergelijkbare services varieert van hacker tot hacker. In dit geval lijkt transparantie het meest waarschijnlijke motief achter het recente lek te zijn, om het publiek te laten zien dat hun informatie niet noodzakelijkerwijs veilig is met het platform en uiteindelijk het merk schaamt. "- Kevin Shahbazi
Veel mensen kiezen ervoor om hun Facebook-accounts te linken met Spotify. Dit vereenvoudigt het inloggen en voegt ook een sociale dimensie toe aan de service. Gebruikers kunnen hun favoriete nummers delen met hun vrienden en aanbevelingen ontvangen.
Zou dit kunnen leiden tot verdere pijn voor getroffen gebruikers? Potentieel, Kevin zei. Vooral als de gebruiker een duplicaat wachtwoord gebruikt.
"Dubbele wachtwoorden (of hergebruik van één wachtwoord voor verschillende services) kan een potentieel probleem zijn. Aangezien iedereen nu toegang heeft tot honderden Spotify-aanmeldingen, geeft dit hen de sleutel tot alle andere accounts en services die het gelekte wachtwoord gebruiken). "- Kevin Shahbazi
Reactie van Spotify
Gezien het hoge profiel van Spotify was het onvermijdelijk dat het bedrijf uiteindelijk een beveiligingsprobleem zou ervaren. Maar in dit geval was het verrassend nonchalant over alles.
"Terwijl [in het verleden] ze proactief waren in het resetten van gebruikerswachtwoorden voor accounts die lijken te zijn gehackt, en hebben gezegd dat ze vaak sites zoals Pastebin voor Spotify-inloggegevens scannen, hebben ze dit niet gedaan met de meest recente vermeende hack, ondanks honderden Spotify-inloggegevens verschijnen online. "- Kevin Shahbazi
Getroffen klanten moesten actief contact opnemen met Spotify om weer toegang te krijgen tot hun accounts. Volgens berichten op Twitter en verschillende artikelen in de technologiepers was dit geen gemakkelijke taak. Helaas is dit geen op zichzelf staande gebeurtenis voor Spotify.
"Spotify heeft het bestaan ontkend van soortgelijke vermeende hacks die naar verluidt plaatsvonden in november 2015 en opnieuw dit afgelopen februari. Over het algemeen zijn de publieke verklaringen van Spotify in tegenspraak met de ervaringen van hun klanten. "- Kevin Shahbazi
Kevin is er niet zeker van waarom Spotify zo hevig ondoorzichtig was over het bestaan (of anderszins) van een hack, of dat het slachtoffer was van een gebruikersfout. Hij maakt zich echter zorgen dat "hun gebrek aan transparantie alleen maar hun merk, reputatie en vooral hun klanten schaadt".
Wat kunnen getroffen gebruikers doen?
Letterlijk honderden gebruikers zijn getroffen door de lekkage. De kans is reëel dat er meer accounts zijn gecompromitteerd, maar nog niet zijn gelekt. Ik vroeg Kevin welke maatregelen Spotify-gebruikers moeten nemen om zichzelf te beschermen.
"Of ze nu gehackt worden of niet, alle Spotify-gebruikers moeten op de hoogte zijn van hun accounts. Voor degenen van wie de informatie is aangetast, moeten ze onmiddellijk hun aanmeldingsgegevens wijzigen voor accounts die hetzelfde wachtwoord hebben gebruikt, evenals voor het monitoren van financiële accounts die aan Spotify zijn gekoppeld. Ze moeten ook contact opnemen met Spotify om hen het probleem met hun account te laten weten en het opnieuw in te stellen. "- Kevin Shahbazi
Kevin voegde eraan toe dat degenen die het geluk hadden om niet in de gegevensverzameling te worden opgenomen, ook voorzorgsmaatregelen zouden moeten nemen. Hij raadt alle gebruikers aan hun wachtwoord opnieuw in te stellen en op alle apparaten waarop Spotify is geïnstalleerd, loggen gebruikers uit en loggen vervolgens weer in. Hij benadrukte ook de gevaren van het vertrouwen op dubbele wachtwoorden.
"Dit is nog een ander geval waarin dubbele wachtwoorden terugkomen om diegenen te schaden die op zoek zijn naar gemakkelijke toegang tot meerdere accounts. Hoewel het misschien net lijkt alsof de inloggegevens van Spotify gehackt zijn en alle andere accounts veilig zijn, als een duplicaat wachtwoord werd gebruikt, zou het kunnen worden gebruikt om met succes in te loggen bij andere accounts die die informatie gebruiken, waardoor een domino-effect ontstaat. "- Kevin Shahbazi
Preventie is beter dan de remedie
Het is voor consumenten onmogelijk om te voorkomen dat hun gegevens worden gelekt door een dienst die zij gebruiken, omdat het niet in hun handen ligt. De service moet goede beveiligingsprocedures en een goede wachtwoordhygiëne hebben. Maar wat kunnen consumenten doen om hun blootstelling aan toekomstige lekkages te beperken? Kevin benadrukte opnieuw dat gebruikers dubbele wachtwoorden moeten vermijden en waar mogelijk gebruik maken van two-factor authenticatie.
"Een andere manier waarop lezers kunnen garanderen dat hun wachtwoord veilig is, is door gebruik te maken van tweefactorauthenticatie (2FA). Wat is twee-factorenauthenticatie en waarom zou u het moeten gebruiken? Wat is twee-factorenauthenticatie en waarom zou u het moeten gebruiken? factor-authenticatie (2FA) is een beveiligingsmethode die twee verschillende manieren vereist om uw identiteit te bewijzen. Het wordt vaak gebruikt in het dagelijks leven. Bijvoorbeeld betalen met een creditcard vereist niet alleen de kaart, ... Lees meer, waarbij gebruikers naast een wachtwoord een ander stuk informatie moeten verstrekken, zoals een vingerafdruk, pincode of beveiligingsvraag, dat alleen zij zou kunnen bieden. "- Kevin Shahbazi
Uiteraard beveelt Kevin het gebruik van een wachtwoordbeheerder aan, om complexe wachtwoorden veilig op te slaan. Hij zei: "een wachtwoordbeheerder Hoe wachtwoordbeheerders uw wachtwoorden veilig houden Hoe wachtwoordbeheerders uw wachtwoorden veilig houden Wachtwoorden die moeilijk te kraken zijn, zijn ook moeilijk te onthouden. Wil je veilig zijn? U hebt een wachtwoordbeheerder nodig. Dit is hoe ze werken en hoe ze je beschermen. Lees Meer is een eenvoudige manier om te voorkomen dat hackers grote schade aanrichten aan uw leven. Deze coderen wachtwoorden in een veilige 'kluis', die de gebruiker kan openen via één hoofdwachtwoord. "Hij voegde eraan toe dat deze het gebruik van veilige, complexe wachtwoorden eenvoudiger maken.
"Er zijn veel gratis, betrouwbare wachtwoordbeheerders. Zorg ervoor dat je een gerenommeerde gebruikt. Velen van hen doen meer dan alleen uw wachtwoord opslaan, dus zoek naar degenen die "injectie" gebruiken om wachtwoorden in de juiste velden in te voegen, in plaats van gewoon te kopiëren en plakken vanaf het klembord. Dit helpt je om te voorkomen dat je wordt aangevallen via keyloggers. "- Kevin Shahbazi
Afsluiten
Kevin, misschien terecht, is verontrust door het milde antwoord van Spotify op honderden gebruikersaccounts die op Pastebin worden gespoten. Of dit lek eenmalig is of dat het duidt op iets dat nog groter zal worden, valt nog te bezien.
We probeerden contact op te nemen met Spotify voor commentaar op dit verhaal, maar konden dit niet doen. Als we terug horen van het bedrijf, updaten we dit artikel met zijn reactie.
Afbeeldingscredits: Vdovichenko Denis / Shutterstock.com