Wie Spotify gestochen wurde, und warum du dich darum kümmern solltest

Das neueste Spotify-Leck ist vielleicht das seltsamste. Hunderte von Accounts wurden auf PasteBin geladen. Also, was geht wirklich vor?

Das neueste Spotify-Leck ist vielleicht das seltsamste.  Hunderte von Accounts wurden auf PasteBin geladen.  Also, was geht wirklich vor?
Werbung

Das neueste Spotify-Leck ist vielleicht das seltsamste. Hunderte von Accounts wurden auf Pastebin verteilt. Auf diese Konten wurde bereits zugegriffen, und viele haben ihre E-Mails geändert. Aber wir wissen nicht nur, wer hinter dem Leck steckt, Spotify ist felsenfest davon überzeugt, dass es nicht gehackt wurde. Also, was geht wirklich vor?

Um das herauszufinden, habe ich mich mit Kevin Shahbazi, Sicherheitsexperte und CEO der Passwort-Management-Firma LogMeOnce, unterhalten. Kevin hat sich in der Sicherheitsbranche einen Namen gemacht. Er hat mehrere Infosec-Unternehmen ins Leben gerufen, von denen eines - Trust Digital, das auf Smartphone-Sicherheit auf Unternehmensebene spezialisiert ist - im Jahr 2010 von McAfee übernommen wurde.

Kevins Expertise im Bereich Sicherheit ist unbestreitbar und ich wollte herausfinden, was er von dieser neuesten Datenverletzung gemacht hat. Über eine Flut von E-Mails, die an einem Dienstagabend gesendet wurden, grollte ich ihn darüber, wer hinter dem Leck stecken könnte, was mit Spotifys Antwort so falsch war und was betroffene Benutzer tun können, um sich selbst zu schützen.

Die Anatomie des Lecks

Als das Ashley Madison Debakel wie eine überreife Melone Ashley Madison Leak No Big Deal knallte? Think Again Ashley Madison Leak Keine große Sache? Think Again Discreet Online-Dating-Website Ashley Madison (vor allem auf betrügerische Ehepartner gerichtet) wurde gehackt. Dies ist jedoch ein viel ernsthafteres Problem, als in der Presse dargestellt wurde, mit erheblichen Auswirkungen auf die Benutzersicherheit. Lesen Sie mehr, es enthüllte die schmutzigen Geheimnisse von Millionen auf dem dunklen Netz. Der Daten-Dump, der in Gigabytes gemessen wurde, listete alles auf, von den biographischen Informationen der Registranten der Seite bis hin zu ihren Nischen-sexuellen Vorlieben. Wie vergleicht das Spotify-Leck?

"Was die Daten angeht, so wurde nur erwähnt, dass nicht spezifizierte" Hunderte "von Accounts kompromittiert wurden. Kontoinformationen wie Zahlungsdetails und Kreditkarteninformationen waren nicht im Leak enthalten, sondern E-Mails, Benutzernamen, Passwörter, Kontotyp und zusätzliche Kontodetails. "- Kevin Shahbazi

Es gibt immer noch keine Informationen darüber, wer hinter dem Angriff stand, obwohl er von einem Benutzer mit dem Namen ' Drakia12 ' auf Pastebin veröffentlicht wurde. Kevin ist offen für die Möglichkeit, dass die Dump-Datei nicht so neu ist und stattdessen von Konten stammt, die bereits auf die Dunkle Web-Reise in das Verborgene Web: Ein Leitfaden für neue Forscher in das verborgene Web: Ein Leitfaden geleakt wurden Für neue Forscher Dieses Handbuch führt Sie durch die vielen Ebenen des tiefen Internets: Datenbanken und Informationen, die in akademischen Zeitschriften verfügbar sind. Schließlich werden wir vor den Toren von Tor ankommen. Lesen Sie mehr und treten Sie jetzt in eine größere Auflage ein. Logins für Spotify und andere Streaming-Sites wie Netflix können in den dunkleren Teilen des Internets gekauft werden, und laut einem McAfee Labs-Bericht werden diese Logins von Cyberkriminellen verbreitet, sobald sie kompromittiert wurden. "

Kevin deutete auch an, dass hinter dem Leck ein "Brute-Force" -Attacke stecken könnte: "Eine andere mögliche Quelle [des Lecks] ist ein Programm, das zum Durchkämmen von Passwörtern verwendet wird oder einfach mehrere verschiedene Passwortkombinationen versucht, bis es das richtige gefunden hat ein".

Dies scheint unwahrscheinlich, da die meisten Dienste die Anzahl fehlgeschlagener Anmeldeversuche beschränken, die ein Benutzer ausführen kann. Es ist jedoch nicht unmöglich. Im Jahr 2009 wurden die Twitter-Accounts von Rick Sanchez, Bill O'Reilly und Britney Spears von Hackern kompromittiert und es wurden anstößige Nachrichten gepostet.

sancheztwitter

Dieser Angriff war nur möglich, weil Twitter zu dieser Zeit die Anmeldeversuche nicht einschränkte und ein Administrator ein schwaches Wörterbuchkennwort hatte (es war "Glück" ).

Ich wollte wissen, wie dieses Leck im Vergleich zu anderen bekannten Lecks, wie den Lecks von Ashley Madison, PlayStation Network und Mate1, ist. Kevin sagte, dass Spotify es im Gegensatz zu anderen bemerkenswerten Leaks nicht "besitzt". Sie übernehmen keine Verantwortung. Er fügte hinzu, dass sie "die Informationen ihrer Kunden proaktiv schützen". Shahbazi macht sich auch Sorgen, dass das Auslaufen die Ouvertüre von etwas viel Größerem sein könnte.

"Durch die Veröffentlichung einer kleinen Stichprobe von Daten wollten angebliche Hacker einfach Spotify in eine defensive Position bringen. Nach einer kurzen Weile, nachdem sie den Account gemolken haben, werden sie wahrscheinlich den Rest des Daten-Dumps veröffentlichen. Wenn das ihr Ziel ist, dann wird es noch peinlicher werden und Führungskräfte könnten ihre Positionen bei Spotify verlieren. "- Kevin Shahbazi

Warum Spotify?

Vielleicht ist es am Spotify-Hack am verwirrendsten, dass es so ein unwahrscheinliches Ziel ist. Für einen Cyberkriminellen ist der Reiz eines kompromittierten PayPal- oder Online-Banking-Kontos Online Banking Safe? Meistens, aber hier sind 5 Risiken, die Sie wissen sollten, ist Online Banking sicher? Meistens, aber hier sind 5 Risiken, die Sie wissen sollten Es gibt eine Menge über Online-Banking zu mögen. Es ist bequem, kann Ihr Leben vereinfachen, Sie könnten sogar bessere Sparquoten erhalten. Aber ist Online-Banking so sicher und geschützt wie es sein sollte? Read More ist unbestreitbar. Aber Spotify ist kein Finanzinstitut. Es ist eine Musikwebsite. Ich habe Kevin gefragt, warum ein Hacker darauf zielen könnte.

"Der Wert für den Angriff auf Spotify oder ähnliche Dienste variiert von Hacker zu Hacker. In diesem Fall scheint Transparenz das wahrscheinlichste Motiv hinter dem jüngsten Leck zu sein, um der Öffentlichkeit zu zeigen, dass ihre Informationen nicht unbedingt sicher mit der Plattform sind und letztlich die Marke in Verlegenheit bringen. "- Kevin Shahbazi

Viele Leute wählen ihre Facebook-Konten mit Spotify zu verknüpfen. Dies vereinfacht die Anmeldung und fügt dem Dienst eine soziale Dimension hinzu. Benutzer können ihre Lieblingsstücke mit ihren Freunden teilen und Empfehlungen erhalten.

Profil

Könnte dies zu weiteren Schmerzen für die betroffenen Nutzer führen? Möglicherweise, sagte Kevin. Vor allem, wenn der Benutzer ein doppeltes Passwort verwendet.

"Doppelte Passwörter (oder die Wiederverwendung eines einzelnen Passworts über verschiedene Dienste hinweg) könnten ein potenzielles Problem darstellen. Da nun jeder auf Hunderte von Spotify-Logins zugreifen kann, haben sie damit den Schlüssel zu allen anderen Konten und Diensten, die das durchgesickerte Passwort verwenden. "- Kevin Shahbazi

Spotifys Antwort

Angesichts des hohen Bekanntheitsgrades von Spotify war es unvermeidlich, dass das Unternehmen irgendwann ein Sicherheitsproblem erleben würde. Aber in diesem Fall war es überraschenderweise nonchalant über alles.

"Während sie [in der Vergangenheit] proaktiv Benutzerkennwörter für scheinbar gehackte Konten zurückgesetzt haben und oft Websites wie Pastebin für Spotify-Zugangsdaten scannen, haben sie dies trotz des jüngsten angeblichen Hacks noch nicht getan Hunderte von Spotify-Credentials erscheinen online. "- Kevin Shahbazi

Betroffene Kunden mussten sich aktiv an Spotify wenden, um wieder Zugang zu ihren Konten zu erhalten. Laut Aussagen auf Twitter und verschiedenen Artikeln in der Technologiepresse war dies keine leichte Aufgabe. Leider ist dies keine isolierte Veranstaltung für Spotify.

"Spotify hat die Existenz ähnlicher mutmaßlicher Hacks dementiert, die angeblich im November 2015 und wieder im vergangenen Februar stattfanden. Insgesamt widersprechen die öffentlichen Äußerungen von Spotify den Erfahrungen ihrer Kunden. "- Kevin Shahbazi

Kevin ist nicht sicher, warum Spotify so vehement undurchsichtig über die Existenz (oder nicht) eines Hacks war, oder ob es das Opfer eines Benutzerfehlers war. Er macht sich jedoch Sorgen, dass "ihre mangelnde Transparenz nur ihre Marke, ihren Ruf und vor allem ihre Kunden schädigt".

Was können betroffene Benutzer tun?

Buchstäblich Hunderte von Benutzern sind von der Leckage betroffen. Es besteht eine sehr reale Möglichkeit, dass mehr Accounts kompromittiert wurden, aber noch nicht durchgesickert sind. Ich fragte Kevin, welche Maßnahmen Spotify-Nutzer ergreifen sollten, um sich selbst zu schützen.

"Ob gehackt oder nicht, alle Spotify-Benutzer sollten sich ihrer Konten bewusst sein. Für diejenigen, deren Informationen kompromittiert wurden, sollten sie sofort ihre Login-Daten für alle Konten, die dasselbe Passwort verwenden, ändern sowie alle Finanzkonten überwachen, die möglicherweise mit Spotify verknüpft sind. Sie müssen sich auch mit Spotify in Verbindung setzen, um sie über das Problem mit ihrem Konto zu informieren und es zurückzusetzen. "- Kevin Shahbazi

LeakedAccounts

Kevin fügte hinzu, dass diejenigen, die das Glück hatten, nicht in den Datendump aufgenommen zu werden, ebenfalls Vorkehrungen treffen sollten. Er empfiehlt allen Benutzern, ihre Passwörter zurückzusetzen, und auf allen Geräten, auf denen Spotify installiert ist, melden sich die Benutzer ab und melden sich erneut an. Er betont auch die Gefahren, die sich aus der Verwendung von doppelten Passwörtern ergeben.

"Dies ist ein weiterer Fall, in dem doppelte Passwörter zurückkommen, um denjenigen zu schaden, die einen einfachen Zugriff auf mehrere Konten wünschen. Auch wenn es so aussieht, als wäre die Login-Information von Spotify gehackt und alle anderen Accounts sicher, könnte ein doppeltes Passwort verwendet werden, um sich erfolgreich bei anderen Accounts anzumelden und einen Dominoeffekt zu erzeugen. "- Kevin Shahbazi

Prävention ist besser als die Heilung

Es ist für Verbraucher unmöglich, zu verhindern, dass ihre Daten von einem Dienst, den sie verwenden, verloren gehen, da sie nicht in ihren Händen sind. Der Dienst muss gute Sicherheitsvorkehrungen und eine gute Passworthygiene aufweisen. Aber was können Verbraucher tun, um ihre Exposition gegenüber zukünftigen Leckagen zu begrenzen? Kevin betonte erneut, dass Benutzer doppelte Passwörter vermeiden sollten und wo möglich, eine Zwei-Faktor-Authentifizierung verwenden sollten.

"Eine weitere Möglichkeit, mit der Leser ihre Passwortsicherheit sicherstellen können, ist die Verwendung der Zwei-Faktor-Authentifizierung (2FA). Was ist Zwei-Faktor-Authentifizierung? Warum sollten Sie sie verwenden? Was ist Zwei-Faktor-Authentifizierung und warum sollten Sie sie verwenden? factor authentication (2FA) ist eine Sicherheitsmethode, die zwei verschiedene Arten des Identitätsnachweises erfordert. Es wird häufig im täglichen Leben verwendet. Zum Beispiel erfordert die Zahlung mit einer Kreditkarte nicht nur die Karte, ... Lesen Sie mehr, wo Benutzer zusätzlich zu einem Passwort, eine andere Information, wie ein Fingerabdruck, PIN oder Sicherheitsfrage, dass nur sie zur Verfügung stellen müssen wäre in der Lage zu bieten. "- Kevin Shahbazi

Es überrascht nicht, dass Kevin die Verwendung eines Passwort-Managers empfiehlt, um komplexe Passwörter sicher zu speichern. Er sagte: "Ein Passwort-Manager Wie Passwort-Manager Ihre Passwörter sicher halten Wie Passwort-Manager Ihre Passwörter sicher halten Passwörter, die schwer zu knacken sind, sind auch schwer zu merken. Willst du sicher sein? Sie benötigen einen Passwort-Manager. So arbeiten sie und wie sie dich schützen. Read More ist ein einfacher Weg, um Hacker davon abzuhalten, Ihr Leben zu verheeren. Diese verschlüsseln Passwörter in einem sicheren "Tresor", auf den der Benutzer über ein Master-Passwort zugreifen kann. "Er fügte hinzu, dass dies die Verwendung sicherer, komplexer Passwörter erleichtert.

"Es gibt viele kostenlose, zuverlässige Passwort-Manager. Stellen Sie sicher, dass Sie eine seriöse verwenden. Viele von ihnen tun mehr, als einfach nur Ihr Passwort zu speichern. Suchen Sie nach solchen, die "injection" verwenden, um Passwörter in die richtigen Felder einzufügen, anstatt einfach nur aus der Zwischenablage zu kopieren und einzufügen. So vermeiden Sie, dass Sie über Keylogger angegriffen werden. "- Kevin Shahbazi

Aufwickeln

Kevin, vielleicht zu Recht, ist beunruhigt über die milde Reaktion von Spotify auf Hunderte ihrer Benutzerkonten, die auf Pastebin gesprüht wurden. Ob dieses Leck einmalig ist oder ob es etwas Größeres gibt, bleibt abzuwarten.

Wir haben versucht, Spotify zu kontaktieren, um einen Kommentar zu dieser Geschichte zu schreiben, aber wir konnten es nicht tun. Wenn wir von der Firma hören, werden wir diesen Artikel mit seiner Antwort aktualisieren.

Bildnachweis: Vdovichenko Denis / Shutterstock.com

In this article