最新的Spotify泄漏可能是最奇怪的泄漏。数以百计的帐户已溅入Pastebin。这些帐户已被访问,许多帐户的电子邮件已更改。但是,我们不仅不知道泄漏的根源是什么,而且Spotify坚称它尚未遭到黑客入侵。那么,真正是怎么回事?
要找出答案,我安排了与密码管理公司LogMeOnce的安全专家兼首席执行官Kevin Shahbazi的聊天。凯文(Kevin)在安全行业树立了自己的名字。他创立了几家不同的信息安全公司,其中一家名为Trust Digital,专门从事企业级智能手机安全性。该公司于2010年被McAfee收购。
Kevin在安全领域的专业知识不可否认,我想找出他对这次最新数据泄露的看法。在周二晚上发送的一连串电子邮件中,我对他进行了烧烤,包括谁可能是泄密者,Spotify的响应有何大错以及受影响的用户可以采取哪些措施来保护自己。
泄漏
当阿什利·麦迪逊(Ashley Madison)的大崩溃像熟透的哈密瓜一样突然爆发时,它就将数百万的肮脏秘密暴露在了黑暗的网络上。数据转储以千兆字节为单位,列出了从网站注册者的传记信息到他们的小众性别偏爱等所有信息。 Spotify泄漏如何进行比较?
“就泄漏了多少数据而言,仅提到未指定的“数百个"帐户已被盗用。泄漏信息中不包括诸如付款明细和信用卡信息之类的帐户信息,但电子邮件,用户名,密码,帐户类型和其他帐户详细信息已包括在内。" —凯文·沙巴齐(Kevin Shahbazi)
仍然没有关于谁在背后的信息该攻击,尽管它是由用户在Pastebin上以“ Drakia12 "的名称发布的。凯文对转储本身可能不是那么新的可能性持开放态度,而是来自已经泄漏到Dark Web上并且现在进入更广泛发行的帐户。 Spotify和其他流媒体网站的登录名可以在Internet上较为阴暗的地方购买,根据McAfee Labs的报告,一旦这些蠕虫受到感染,这些登录名就会不断被网络罪犯散布。"
Kevin还暗示泄漏可能是“蛮力"攻击,他说:“泄漏的另一个可能来源是用来“梳理"密码的程序,或者只是尝试多种不同的密码组合,直到
这似乎不太可能,因为大多数服务现在限制了用户可以进行的失败登录尝试的次数。但是,这并非不可能。 2009年,Rick Sanchez,Bill O'Reilly和Britney Spears的Twitter帐户遭到黑客入侵,并发布了攻击性消息。
这种攻击之所以可能是因为当时Twitter确实做到了不限制登录尝试,并且一个管理员的字典密码很弱(它是“幸福" )。
我想知道与其他引人注目的泄漏相比,该泄漏如何,例如Ashley Madison,PlayStation Network和Mate1漏洞。凯文说,与其他明显的漏洞不同,Spotify不是“拥有"它。他们不承担责任。他补充说,他们也不是“积极保护客户的信息"。 Shahbazi还担心泄漏可能是更大泄漏的序幕。
“通过发布少量数据样本,黑客可能只是想将Spotify置于防御位置。然后过了一会儿,在挤满帐户之后,他们可能会发布其余的数据转储。如果这是他们的目标,那么将会带来更多的尴尬,高管可能最终会失去在Spotify的职位。" —凯文·沙巴兹(Kevin Shahbazi)
为什么使用Spotify?
也许最令人困惑的是关于Spotify骇客的是,这是一个不太可能的目标。对于网络犯罪分子而言,不可否认的是,遭到破坏的贝宝(PayPal)或网上银行帐户的吸引力。但是Spotify不是金融机构。这是一个音乐网站。我问凯文,为什么黑客会以此为目标。
“攻击Spotify或其他类似服务的价值因黑客而异。在这种情况下,透明性似乎是最近泄密的最可能动机,向公众表明他们的信息不一定在平台上是安全的,并最终导致品牌尴尬。" —凯文·沙巴齐(Kevin Shahbazi)
许多人选择将其Facebook帐户与Spotify关联。这简化了登录,还为服务增加了社交功能。用户可以与朋友分享自己喜欢的曲目,并获得推荐。
这会给受影响的用户带来更多痛苦吗?潜在的,凯文说。尤其是如果用户使用重复的密码。
“重复的密码(或在不同服务中重用单个密码)可能是一个潜在问题。由于现在任何人都可以访问数百个Spotify登录名,因此这为他们提供了使用泄露的密码的任何其他帐户和服务的密钥)。" — Kevin Shahbazi
Spotify的响应
给出Spotify的引人注目的是,该公司不可避免地最终会遇到某种安全问题。
“尽管(过去)他们很主动地为似乎被黑客入侵的帐户重置用户密码,并表示他们经常扫描网站。"像Pastebin的Spotify凭证一样,尽管有数百个Spotify凭证在线出现,但他们并没有采用最新的黑客手段。" —凯文·沙赫巴齐(Kevin Shahbazi)
受影响的客户必须积极与Spotify联络以重新获得访问他们的帐户。根据Twitter上的帖子以及技术新闻中的各种文章,这并非易事。遗憾的是,这不是Spotify的孤立事件。
“ Spotify否认存在据称于2015年11月以及今年2月再次发生的类似所谓的黑客攻击。总体而言,Spotify的公开声明与客户的体验相抵触。用户错误的受害者。但是,他担心“他们缺乏透明度只会损害他们的品牌,声誉,最重要的是损害他们的客户"。
受影响的用户可以做什么?
从字面上看,数百名用户用户受到泄漏的影响。很可能有更多的帐户被盗用,但还没有被泄露。我问凯文,Spotify用户应采取什么措施来保护自己。
“无论是否被黑客入侵,所有Spotify用户都应意识到自己的帐户。对于那些信息被泄露的人,他们应该立即更改使用同一密码的任何帐户的登录信息,并监视可能链接到Spotify的任何金融帐户。他们还需要联系Spotify,让他们知道帐户问题并进行重置。" —凯文·沙巴兹(Kevin Shahbazi)
凯文(Kevin)补充说,那些幸运的人没有被包括在数据中转储也应采取预防措施。他建议所有用户重置密码,并在安装了Spotify的所有设备上注销并重新登录。他还强调了依赖重复密码的危险。
另一种情况是,重复的密码又回来了,这会损害那些希望轻松访问多个帐户的人。尽管看上去Spotify的登录信息被黑了,所有其他帐户都是安全的,但如果使用了重复的密码,它可能会被用来成功利用该信息登录到其他帐户,从而产生多米诺骨牌效应。" — Keevin Shahbazi
预防胜于治疗
对于消费者来说,阻止其使用的服务不会泄漏其数据是不可能的,因为它不在用户手中。该服务必须具有良好的安全惯例和良好的密码卫生。但是,消费者可以做些什么来限制他们将来暴露的风险呢? Kevin再次强调,用户应避免使用重复的密码,并尽可能使用两因素身份验证。
“确保读者密码安全性的另一种方法是利用两因素身份验证(2FA),除了密码之外,用户还需要提供其他信息,例如指纹,PIN或安全性问题,只有他们才能提供。" —凯文·沙巴兹(Kevin Shahbazi)
毫无疑问, Kevin建议使用密码管理器,以安全地存储复杂密码。他说:“密码管理器是防止黑客对您的生活造成严重破坏的简单方法。这些密码在一个安全的“金库"中加密,用户可以通过一个主密码进行访问。"他补充说,这些密码使使用安全,复杂的密码更加容易。
“有许多免费的,可靠的密码经理。确保您使用的是信誉良好的产品。他们中的许多人所做的不只是简单地存储您的密码,而是寻找使用“注入"将密码插入正确字段中的密码,而不是简单地从剪贴板复制和粘贴。这样可以帮助您避免受到键盘记录程序的攻击。" —凯文·沙巴兹(Kevin Shahbazi)
总结
凯文(Kevin)也许正确地受到了Spotify对数百个用户帐户的温和响应的干扰喷在Pastebin上。这种泄漏是一次性的,还是预示着更大的泄漏尚待观察。
我们试图与Spotify取得联系以对此事发表评论,但未能做到。如果我们收到公司的回音,我们将以其回复来更新本文。
图片来源:Vdovichenko Denis / Shutterstock.com
