Cómo spotify picó, y por qué usted debe cuidar
La última filtración Spotify podría ser el más extraño aún. Cientos de cuentas han sido salpicado en Pastebin. Ya se ha accedido a estas cuentas, y muchos han tenido sus correos electrónicos cambiados. Pero no sólo no sabemos quién está detrás de la fuga, Spotify está convencido de que no ha sido hackeado. Por lo tanto, lo que es De Verdad pasando?
Para averiguarlo, me organizó una charla con Kevin Shahbazi, expertos y CEO de la firma de gestión de contraseñas LogMeOnce seguridad. Kevin mismo ha construido un nombre en la industria de la seguridad. Se ha puesto en marcha varias empresas infosec diferentes, una de ellas - Trust Digital, que se especializan en la seguridad de teléfonos inteligentes a nivel de empresa - fue adquirida por McAfee en 2010.
La experiencia de Kevin en el campo de la seguridad es innegable, y quería averiguar lo que hace de esta última violación de datos. Durante una serie de correos electrónicos enviados en un martes por la noche, le parrilla en la que podría estar detrás de la filtración, lo que era tan malo en la respuesta de Spotify, y lo que pueden hacer los usuarios afectados a protegerse a sí mismos.
La anatomía de la fuga
Cuando el desastre de Ashley Madison apareció como un melón demasiado maduro, que expone los secretos sórdidos de millones en la web oscuro. El volcado de datos, que se mide en los gigabytes, que aparece de todo, desde la información biográfica de los solicitantes de registro del sitio, que incluso sus preferencias sexuales de nicho. ¿Cómo se compara la fuga Spotify?Ashley Madison fugas no es gran cosa? Piensa otra vezAshley Madison fugas no es gran cosa? Piensa otra vezDiscreta sitio de citas en línea Ashley Madison (dirigida principalmente a los esposos de engaño) ha sido hackeado. Sin embargo, esto es un problema mucho más serio que ha sido retratado en la prensa, con considerables implicaciones para la seguridad del usuario.Lee mas
“En cuanto a la cantidad de datos se ha filtrado, sólo ha habido mención que se han comprometido un número no especificado‘ cientos de cuentas. información de la cuenta al igual que los datos de pago y la información de tarjeta de crédito no se incluyeron en la fuga, pero los correos electrónicos, nombres de usuario, contraseñas, tipo de cuenta y la cuenta adicional detalles eran “-. Kevin Shahbazi
Todavía no hay ninguna información sobre quién estaba detrás del ataque, a pesar de que fue publicado por un usuario con el nombre de ‘Drakia12‘En Pastebin. Kevin está abierto a la posibilidad de que el vertedero en sí podría no ser tan nuevo, y en su lugar vino de cuentas que ya se había filtrado en el Dark Web, y ahora están entrando en una circulación más amplia. Inicios de sesión para Spotify y otros sitios de streaming como Netflix, están disponibles para su compra en las partes más oscuras de la Internet, y de acuerdo con un informe de McAfee Labs, estas conexiones se hacen circular continuamente por los delincuentes cibernéticos una vez que han sido comprometidos”.
Kevin también dio a entender que un ataque de “fuerza bruta” podría estar detrás de la fuga, diciendo: “Otra posible fuente [de la fuga] es un programa que sirve para `peine` a través de contraseñas, o simplemente el intento múltiples combinaciones diferentes de contraseña hasta que encuentra la correcta uno".
Esto parece poco probable, ya que la mayoría de los servicios que ahora limitan la cantidad de intentos de acceso fallidos puede realizar un usuario. Sin embargo, no es imposible. En 2009, las cuentas de Twitter de Rick Sanchez, Bill O`Reilly, y Britney Spears se vieron comprometidas por los hackers, los mensajes ofensivos y fueron publicadas.
Este ataque sólo fue posible porque, en ese momento, Twitter no limitó intentos de conexión, y un administrador tenido una contraseña débil diccionario (que era "felicidad").
Yo quería saber cómo esta filtración en comparación con otras fugas de alto perfil, como el Ashley Madison, PlayStation Network, y las fugas Mate1. Kevin dijo que a diferencia de otros notables otras fugas, Spotify no es “poseer” la misma. No están asumiendo la responsabilidad. Tampoco, agregó, son “ser proactivo en la protección de la información de sus clientes”. Shahbazi también se preocupa de que la fuga podría ser la obertura de algo mucho más grande.
“Con la publicación de una pequeña muestra de los datos de los hackers supuestos podrían haber querido simplemente poner Spotify en una posición defensiva. Luego, después de un corto tiempo, después de haber ordeñado la cuenta, es probable que publicar el resto de la descarga de datos. Si ese es su objetivo, entonces, más vergüenza que está por venir, y los ejecutivos podría terminar perdiendo sus posiciones en Spotify.”- Kevin Shahbazi
¿Por qué Spotify?
Quizás lo que es más desconcertante acerca del Spotify truco es que es un objetivo tan poco probable. Para un ciber-criminal, el encanto de un peligro o de PayPal cuenta bancaria en línea es innegable. Pero Spotify no es una institución financiera. Es un sitio web de música. Le pregunté a Kevin por las que un hacker podría dirigirse a él.¿Es segura la Banca en Línea? 5 Los riesgos que debería preocuparte¿Es segura la Banca en Línea? 5 Los riesgos que debería preocuparteHay mucho que gusta de la banca en línea. Es conveniente, puede simplificar su vida, incluso se podría obtener mejores tasas de ahorro. Pero la banca en línea es tan seguro como debería ser?Lee mas
“El valor en el ataque a Spotify, u otros servicios similares, varía de hacker para usuario remoto. En este caso, la transparencia parece ser la más probable motivo detrás de la reciente filtración, para mostrar al público que su información no es necesariamente seguro con la plataforma, y en última instancia, causando vergüenza para la marca.”- Kevin Shahbazi
Muchas personas optan por vincular sus cuentas de Facebook con Spotify. Esto simplifica iniciar la sesión, y también añade una dimensión social al servicio. Los usuarios pueden compartir sus canciones favoritas con sus amigos, y obtener recomendaciones.
¿Puede esto conducir a más dolor para los usuarios afectados? Potencialmente, dijo Kevin. Sobre todo si el usuario está utilizando una contraseña duplicado.
“Contraseñas duplicadas (o la reutilización de una sola contraseña a través de diferentes servicios) podría ser un problema potencial. Dado que cualquier persona puede acceder a cientos de nombres de usuario de Spotify, esto les da la clave para cualquier otra cuenta y servicios que utilizan la contraseña filtrado).”- Kevin Shahbazi
Respuesta de Spotify
Dado el alto perfil de Spotify, era inevitable que la compañía finalmente experimentar algún tipo de problema de seguridad. Pero en este caso, ha sido sorprendentemente indiferente sobre todo.
“Mientras que [en el pasado] que han sido proactiva en restablecer las contraseñas de usuario para las cuentas que parecen ser hackeado, y han dicho que a menudo escanear sitios como Pastebin las credenciales de Spotify, que no lo han hecho con el más reciente presunta corte, a pesar cientos de credenciales de Spotify que aparece en línea.”- Kevin Shahbazi
clientes afectados han tenido que tratar activamente de llegar a Spotify para recuperar el acceso a sus cuentas. De acuerdo con publicaciones en Twitter, y varios artículos en la prensa tecnología, esto no ha sido una tarea fácil. Lamentablemente, esto no es un hecho aislado de Spotify.
“Spotify ha negado la existencia supuestos cortes similares que tuvieron lugar supuestamente en noviembre de 2015 y de nuevo en febrero pasado. En general, las declaraciones públicas de Spotify contradicen las experiencias de sus clientes.”- Kevin Shahbazi
Kevin no está seguro de por qué Spotify ha sido tan vehementemente opaca sobre la existencia (o no) de un corte, o si fue víctima de un error del usuario. Sin embargo, le preocupa que “su falta de transparencia sólo se está haciendo daño a su marca, la reputación, y sobre todo, sus clientes”.
¿Qué pueden hacer los usuarios afectados?
Literalmente, cientos de usuarios se han visto afectados por la fuga. Hay una posibilidad muy real de que más cuentas han sido comprometidas, pero simplemente no se han filtrado todavía. Le pregunté a Kevin qué medidas deben tomar los usuarios de Spotify para protegerse.
“Ya sea hackeado o no, todos los usuarios de Spotify deben ser conscientes de sus cuentas. Para aquellos cuya información ha sido comprometida que deberían cambiar inmediatamente su información de inicio de sesión para todas las cuentas que utilizan la misma contraseña, así como supervisar todas las cuentas financieras que puedan estar vinculados a Spotify. Necesitan también ponerse en contacto con Spotify para hacerles saber del problema con su cuenta, así como para restablecerla.”- Kevin Shahbazi
Kevin añadió que los que tuvieron la suerte de no estar incluidos en el volcado de datos también deben tomar precauciones. Se recomienda que todos los usuarios restablecer sus contraseñas, y en todos los dispositivos que se instala Spotify, los usuarios firmar, y luego vuelva a conectar. También hizo hincapié en los peligros de depender de las contraseñas duplicadas.
“Este es otro caso en el que las contraseñas duplicadas vuelven a perjudicar aquellos que buscan la facilidad de acceso a varias cuentas. Si bien puede parecer al igual que la información de inicio de sesión de Spotify fue hackeado y todas las demás cuentas son seguros, si se utiliza una contraseña por duplicado, que se podría utilizar para iniciar sesión con éxito a otras cuentas que utilizan esa información, creando un efecto dominó.”- Kevin Shahbazi
La prevención es mejor que la cura
Es imposible para los consumidores para evitar que sus datos puedan ser filtrados por un servicio que utilizan, ya que no está en sus manos. El servicio tiene que tener buenas prácticas de seguridad, y una buena higiene contraseña. Pero, ¿qué pueden hacer los consumidores para limitar su exposición a futuras fugas? Kevin re-hicieron hincapié en que los usuarios deben evitar las contraseñas duplicadas, y en lo posible el uso de autenticación de dos factores.
“Otra forma que los lectores puedan garantizar su seguridad por contraseña es fuerte es mediante la utilización autenticación de dos factores (2FA), donde además de una contraseña, los usuarios están obligados a proporcionar otra pieza de información, como una huella dactilar, PIN o la pregunta de seguridad, que sólo ellos serían capaces de proporcionar.”- Kevin Shahbazi¿Qué es la autenticación de dos factores, y por qué se debe utilizar¿Qué es la autenticación de dos factores, y por qué se debe utilizarautenticación de dos factores (2FA) es un método de seguridad que requiere dos maneras diferentes de probar su identidad. Se utiliza comúnmente en la vida cotidiana. Por ejemplo pagar con una tarjeta de crédito no sólo requiere la tarjeta, ...Lee mas
Como era de esperar, Kevin recomienda el uso de un gestor de contraseñas, con el fin de almacenar de forma segura las contraseñas complejas. Él dijo "un gestor de contraseñas es una forma sencilla de evitar que los hackers causando estragos en su vida. Estas contraseñas cifrar en una ‘bóveda` seguro, que el usuario puede acceder a través de una contraseña maestra.” Añadió que éstos hacen que sea más fácil de usar contraseñas seguras y complejas.Cómo Administradores de Contraseñas Mantenga sus contraseñas segurasCómo Administradores de Contraseñas Mantenga sus contraseñas segurasLas contraseñas que son difíciles de romper también son difíciles de recordar. ¿Quieres ser salvo? Es necesario un gestor de contraseñas. He aquí cómo funcionan y cómo se mantienen seguros.Lee mas
“Hay muchos, administradores de contraseñas fiables libres. Asegúrese de que está utilizando una buena reputación. Muchos de ellos lo hacen algo más que simplemente almacenar la contraseña, a fin de buscar los que utilizan la “inyección” para insertar las contraseñas en los campos correctos, en lugar de simplemente copiar y pegar desde el portapapeles. Esto ayuda a evitar ser atacado a través de keyloggers.”- Kevin Shahbazi
Terminando
Kevin, tal vez con razón, está perturbado por la respuesta leve por Spotify a cientos de sus cuentas de usuario que se rocía en Pastebin. Si esta filtración es un hecho aislado o si es indicativo de algo más grande que venir aún está por verse.
Tratamos de ponerse en contacto con Spotify para hacer comentarios sobre esta historia, pero no pudieron hacerlo. Si recibimos respuesta de la compañía, actualizaremos este artículo con su respuesta.