O último vazamento do Spotify pode ser o mais estranho de todos. Centenas de contas foram espalhadas no Pastebin. Essas contas já foram acessadas, e muitos deles tiveram seus emails alterados. Mas não só não sabemos quem está por trás do vazamento, mas o Spotify está convencido de que não foi hackeado. Então, o que realmente está acontecendo?
Para descobrir, organizei uma conversa com Kevin Shahbazi, especialista em segurança e CEO da firma de gerenciamento de senhas LogMeOnce. Kevin criou um nome para ele no setor de segurança. Ele lançou várias empresas de infosec diferentes, das quais uma - a Trust Digital, especializada em segurança de smartphone no nível corporativo - foi adquirida pela McAfee em 2010.
O conhecimento de Kevin na área de segurança é inegável e eu queria descobrir o que ele fez com relação a essa última violação de dados. Durante uma enxurrada de e-mails enviados em uma noite de terça-feira, eu o interroguei sobre quem poderia estar por trás do vazamento, o que estava tão errado com a resposta do Spotify e o que os usuários afetados podem fazer para se proteger.
A anatomia do vazamento
Quando o desastre de Ashley Madison explodiu como um cantalupo super pesado Ashley Madison Leak No Big Deal? Pensar novamente Ashley Madison Leak No Big Deal? Pense de novo Discreto site de namoro on-line Ashley Madison (alvejado principalmente em cônjuges de engano) foi hackeado. No entanto, esta é uma questão muito mais séria do que a que foi retratada na imprensa, com implicações consideráveis para a segurança do usuário. Leia Mais, expôs os segredos sórdidos de milhões na teia das Trevas. O despejo de dados, medido nos gigabytes, listou tudo, desde as informações biográficas dos registrantes do site, até mesmo para suas preferências sexuais. Como o vazamento do Spotify é comparado?
“No que diz respeito à quantidade de dados que vazaram, só houve menção de que centenas de contas não especificadas foram comprometidas. Informações de conta como detalhes de pagamento e informações de cartão de crédito não foram incluídas no vazamento, mas e-mails, nomes de usuário, senhas, tipo de conta e detalhes adicionais da conta foram. ”- Kevin Shahbazi
Ainda não há informações sobre quem esteve por trás do ataque, embora tenha sido publicado por um usuário com o nome de ' Drakia12 ' no Pastebin. Kevin está aberto à possibilidade de que o lixão em si possa não ser tão novo assim, e em vez disso veio de relatos que já vazaram na jornada da Dark Web para a Web Oculto: Um Guia Para Novos Pesquisadores Viaja Para A Web Oculto: Um Guia Para novos pesquisadores Este manual levará você a um tour pelos diversos níveis da deep web: bancos de dados e informações disponíveis em periódicos acadêmicos. Finalmente, chegaremos aos portões do Tor. Leia mais e agora está entrando em uma circulação mais ampla. Os logins para o Spotify e outros sites de fluxo contínuo, como o Netflix, estão disponíveis para compra nas partes mais obscuras da Internet e, de acordo com um relatório do McAfee Labs, esses logins são continuamente divulgados por criminosos cibernéticos depois que eles são comprometidos ”.
Kevin também sugeriu que um ataque de "força bruta" poderia estar por trás do vazamento, dizendo: "Outra fonte possível [do vazamento] é um programa usado para" vasculhar "senhas, ou simplesmente tentar várias combinações de senha diferentes até encontrar a senha correta. 1".
Isso parece improvável, já que a maioria dos serviços agora limita a quantidade de tentativas de login malsucedidas que um usuário pode fazer. No entanto, não é impossível. Em 2009, as contas do Twitter de Rick Sanchez, Bill O'Reilly e Britney Spears foram comprometidas por hackers e mensagens ofensivas foram postadas.
Este ataque só foi possível porque, no momento, o Twitter não limitou as tentativas de login, e um administrador tinha uma senha de dicionário fraca (era “felicidade” ).
Eu queria saber como esse vazamento se compara a outros vazamentos de alto perfil, como os vazamentos de Ashley Madison, PlayStation Network e Mate1. Kevin disse que, diferentemente de outros outros vazamentos notáveis, o Spotify não o está “possuindo”. Eles não estão assumindo responsabilidade. Além disso, ele acrescentou, “eles são proativos em proteger as informações de seus clientes”. Shahbazi também teme que o vazamento possa ser a abertura de algo muito maior.
“Ao publicar uma pequena amostra de dados, supostos hackers poderiam simplesmente querer colocar o Spotify em uma posição defensiva. Então, depois de um tempo, depois que eles ordenham a conta, eles provavelmente publicarão o restante do despejo de dados. Se esse é o seu objetivo, então mais embaraço está por vir, e os executivos podem acabar perdendo suas posições no Spotify. ”- Kevin Shahbazi
Por que Spotify?
Talvez o que seja mais intrigante sobre o hack do Spotify é que é um alvo improvável. Para um cibercriminoso, o fascínio de uma conta bancária ou online bancária comprometida é seguro para bancos on-line? Principalmente, mas aqui estão 5 riscos que você deve saber sobre o banco on-line é seguro? Principalmente, mas aqui estão 5 riscos que você deve saber Há muito a desejar sobre o banco on-line. É conveniente, pode simplificar a sua vida, você pode até obter melhores taxas de poupança. Mas o banco on-line é tão seguro e seguro quanto deveria ser? Leia mais é inegável. Mas o Spotify não é uma instituição financeira. É um site de música. Perguntei a Kevin por que um hacker poderia atacá-lo.
“O valor de atacar o Spotify, ou outros serviços semelhantes, varia de hacker a hacker. Nesse caso, a transparência parece ser o motivo mais provável por trás do vazamento recente, para mostrar ao público que suas informações não são necessariamente seguras com a plataforma e, por fim, causam constrangimento à marca. ”- Kevin Shahbazi
Muitas pessoas optam por vincular suas contas do Facebook ao Spotify. Isso simplifica o login e também adiciona uma dimensão social ao serviço. Os usuários podem compartilhar suas faixas favoritas com seus amigos e receber recomendações.
Isso poderia levar a mais dor para os usuários afetados? Potencialmente, Kevin disse. Especialmente se o usuário estiver usando uma senha duplicada.
“Senhas duplicadas (ou reutilizar uma única senha em diferentes serviços) podem ser um problema em potencial. Como agora qualquer um pode acessar centenas de logins do Spotify, isso dá a eles a chave para quaisquer outras contas e serviços que usem a senha que vazou). ”- Kevin Shahbazi
Resposta do Spotify
Dado o alto perfil do Spotify, era inevitável que a empresa acabasse experimentando algum tipo de problema de segurança. Mas neste caso, tem sido surpreendentemente indiferente a tudo.
“Enquanto [no passado] eles foram pró-ativos ao redefinir senhas de usuários para contas que parecem ser hackeadas, e disseram que eles frequentemente verificam sites como o Pastebin para credenciais do Spotify, eles não o fizeram com o mais recente hack alegado, apesar de centenas de credenciais do Spotify aparecendo on-line. ”- Kevin Shahbazi
Os clientes afetados tiveram que entrar em contato com o Spotify para recuperar o acesso às suas contas. De acordo com postagens no Twitter e vários artigos na imprensa de tecnologia, isso não tem sido uma tarefa fácil. Infelizmente, este não é um evento isolado para o Spotify.
“O Spotify negou a existência de alegados hacks semelhantes que supostamente ocorreram em novembro de 2015 e novamente em fevereiro deste ano. No geral, as declarações públicas do Spotify contradizem as experiências de seus clientes. ”- Kevin Shahbazi
Kevin não tem certeza porque Spotify tem sido tão veementemente opaco sobre a existência (ou não) de um hack, ou se foi vítima de erro do usuário. No entanto, ele se preocupa com o fato de que “a falta de transparência afeta apenas sua marca, reputação e, acima de tudo, seus clientes”.
O que os usuários afetados podem fazer?
Literalmente centenas de usuários foram afetados pelo vazamento. Existe uma possibilidade muito real de que mais contas tenham sido comprometidas, mas ainda não vazaram. Perguntei a Kevin quais medidas as pessoas do Spotify deveriam tomar para se proteger.
“Seja hackeado ou não, todos os usuários do Spotify devem estar cientes de suas contas. Para aqueles cujas informações foram comprometidas, elas devem alterar imediatamente suas informações de login para todas as contas que utilizaram a mesma senha, bem como monitorar as contas financeiras que possam estar vinculadas ao Spotify. Eles também precisam entrar em contato com o Spotify para informá-los sobre o problema com sua conta, bem como para redefini-lo. ”- Kevin Shahbazi
Kevin acrescentou que aqueles que tiveram a sorte de não serem incluídos no despejo de dados também devem tomar precauções. Ele recomenda que todos os usuários redefinam suas senhas e, em todos os dispositivos em que o Spotify está instalado, os usuários saiam e façam o login novamente. Ele também enfatizou os perigos de confiar em senhas duplicadas.
“Este é mais um caso em que senhas duplicadas voltam para prejudicar quem procura facilidade de acesso a várias contas. Embora possa parecer que as informações de login do Spotify foram invadidas e todas as outras contas são seguras, se uma senha duplicada for usada, ela poderá ser usada para fazer login em outras contas utilizando essas informações, criando um efeito dominó. ”- Kevin Shahbazi
A prevenção é melhor que a cura
É impossível para os consumidores impedir que seus dados sejam vazados por um serviço que eles usam, uma vez que não está em suas mãos. O serviço deve ter boas práticas de segurança e boa higiene com senhas. Mas o que os consumidores podem fazer para limitar sua exposição a vazamentos futuros? Kevin enfatizou novamente que os usuários devem evitar senhas duplicadas e, quando possível, usar autenticação de dois fatores.
“Outra maneira que os leitores podem garantir a segurança de senha é usando a autenticação de dois fatores (2FA) O que é autenticação de dois fatores, e por que você deve usá-la? O que é autenticação de dois fatores e por que você deve usá-la? A autenticação de fator (2FA) é um método de segurança que requer duas maneiras diferentes de provar sua identidade. É comumente usado na vida cotidiana. Por exemplo, pagar com um cartão de crédito não só requer o cartão, ... Leia mais, onde, além de uma senha, os usuários são obrigados a fornecer uma outra informação, como uma impressão digital, PIN ou pergunta de segurança, que só eles seria capaz de fornecer. "- Kevin Shahbazi
Não é novidade que Kevin recomenda o uso de um gerenciador de senhas para armazenar senhas complexas com segurança. Ele disse “um gerenciador de senhas Como os gerentes de senhas mantêm suas senhas seguras Como os gerentes de senhas mantêm suas senhas seguras As senhas difíceis de decifrar também são difíceis de lembrar. Quer estar seguro? Você precisa de um gerenciador de senhas. Veja como eles funcionam e como eles mantêm você seguro. Leia mais é uma maneira simples de impedir que hackers causem estragos em sua vida. Eles criptografam senhas em um cofre seguro, que o usuário pode acessar por meio de uma senha mestra. ”Ele acrescentou que isso facilita o uso de senhas complexas e seguras.
“Existem muitos gerenciadores de senhas confiáveis e gratuitos. Verifique se você está usando uma reputação. Muitos deles fazem mais do que simplesmente armazenar sua senha, então procure por aqueles que usam “injeção” para inserir senhas nos campos corretos, ao invés de simplesmente copiar e colar da área de transferência. Isso ajuda você a evitar ser atacado via keyloggers. ”- Kevin Shahbazi
Empacotando
Kevin, talvez com razão, está perturbado com a resposta branda do Spotify a centenas de contas de usuários sendo pulverizadas no Pastebin. Se esse vazamento é único ou se é indicativo de algo maior ainda está para ser visto.
Tentamos entrar em contato com o Spotify para comentar esta história, mas não pudemos fazê-lo. Se recebermos uma resposta da empresa, atualizaremos este artigo com sua resposta.
Créditos da Imagem: Vdovichenko Denis / Shutterstock.com