Wie Spotify gestochen wurde und warum es Sie interessieren sollte

Das neueste Spotify-Leck könnte das seltsamste sein. Hunderte von Berichten wurden auf Pastebin gespritzt. Auf diese Konten wurde bereits zugegriffen, und bei vielen wurde die E-Mail-Adresse geändert. Aber wir wissen nicht nur nicht, wer hinter dem Leck steckt, Spotify ist hartnäckig, es wurde nicht gehackt. Was ist also? Ja wirklich los?

Um das herauszufinden, habe ich einen Chat mit Kevin Shahbazi, Sicherheitsexperte und CEO der Kennwortverwaltungsfirma LogMeOnce, organisiert. Kevin hat sich einen Namen in der Sicherheitsbranche gemacht. Er hat mehrere verschiedene Infosec-Unternehmen gegründet, von denen einer - Trust Digital, der sich auf die Sicherheit von Smartphones auf Unternehmensebene spezialisiert hat - 2010 von McAfee übernommen wurde.

Kevins Expertise im Sicherheitsbereich ist unbestreitbar, und ich wollte herausfinden, was er aus dieser jüngsten Datenschutzverletzung gemacht hat. Bei einer Flut von E-Mails, die an einem Dienstagabend gesendet wurden, griff ich ihn an, wer hinter dem Lecken steckte, was mit Spotifys Antwort so falsch war und was die betroffenen Benutzer tun können, um sich selbst zu schützen.

Die Anatomie des Lecks

Als das Debüt von Ashley Madison wie eine überreife Cantaloupe auftauchte, war Ashley Madison kein großer Deal? Denken Sie noch einmal nach Ashley Madison Leak keine große Sache? Denken Sie nochmal an die diskrete Online-Dating-Seite Ashley Madison (die hauptsächlich darauf ausgerichtet ist, Ehepartner zu betrügen) wurde gehackt. Dies ist jedoch ein weitaus ernsteres Problem als in der Presse dargestellt, was erhebliche Auswirkungen auf die Anwendersicherheit hat. Lesen Sie mehr. Es enthüllte die schmutzigen Geheimnisse von Millionen im Dark Web. Der Daten-Dump, der in Gigabyte gemessen wurde, listete alles auf, von den biographischen Informationen der Registranten der Website bis hin zu ihren sexuellen Nischenpräferenzen. Wie lässt sich das Spotify-Leck vergleichen??

“In Bezug auf die Menge der durchgesickerten Daten wurde nur erwähnt, dass nicht näher bezeichnete "Hunderte" von Konten manipuliert wurden. Kontoinformationen wie Zahlungsinformationen und Kreditkarteninformationen wurden nicht in das Leck aufgenommen, E-Mails, Benutzernamen, Passwörter, Kontotyp und zusätzliche Kontodetails.” - Kevin Shahbazi

Es gibt immer noch keine Informationen darüber, wer hinter dem Angriff steckte, obwohl er von einem Benutzer mit dem Namen '' veröffentlicht wurde.Drakia12'auf Pastebin. Kevin ist offen für die Möglichkeit, dass der Dump selbst nicht so neu ist, und stattdessen von Konten stammte, die bereits in das dunkle Web verlegt worden waren. Reise ins verborgene Web: Ein Leitfaden für neue Forscher Reise ins verborgene Web: Ein Leitfaden Für neue Forscher Dieses Handbuch führt Sie durch die vielen Ebenen des Deep Web: Datenbanken und Informationen, die in wissenschaftlichen Zeitschriften verfügbar sind. Schließlich kommen wir an den Toren von Tor an. Lesen Sie mehr und treten Sie jetzt in eine breitere Auflage. Anmeldungen für Spotify und andere Streaming-Sites wie Netflix können in den schmutzigen Teilen des Internets erworben werden. Laut einem McAfee Labs-Bericht werden diese Anmeldungen von Cyber-Kriminellen nach Bekanntwerden der Sicherheitslücken ständig in Umlauf gebracht”.

Kevin deutete auch an, dass a “rohe Gewalt” Angriff könnte hinter dem Leck sein und sagen, “Eine andere mögliche Quelle [des Lecks] ist ein Programm, das dazu verwendet wird, Passwörter zu "durchkämmen" oder einfach mehrere verschiedene Passwortkombinationen zu versuchen, bis es die richtige findet”.

Dies erscheint unwahrscheinlich, da die meisten Dienste die Anzahl fehlgeschlagener Anmeldeversuche, die ein Benutzer ausführen kann, jetzt einschränken. Es ist jedoch nicht unmöglich. 2009 wurden die Twitter-Konten von Rick Sanchez, Bill O'Reilly und Britney Spears von Hackern kompromittiert, und es wurden beleidigende Nachrichten gepostet.

Dieser Angriff war nur möglich, weil Twitter zu diesem Zeitpunkt die Anmeldeversuche nicht einschränkte und ein Administrator über ein Kennwort für ein schwaches Wörterbuch verfügte “Glück”).

Ich wollte wissen, wie dieses Leck mit anderen hochkarätigen Leckagen wie Ashley Madison, PlayStation Network und Mate1-Leckagen verglichen wird. Kevin sagte, anders als andere bemerkenswerte Lecks, ist Spotify nicht “besitzen” es. Sie übernehmen keine Verantwortung. Er fügte noch hinzu, nicht wahr? “proaktiv beim Schutz der Informationen ihrer Kunden”. Shahbazi befürchtet auch, dass das Durchsickern die Ouvertüre von etwas viel Größerem sein könnte.

“Durch die Veröffentlichung eines kleinen Datenstichs hätten angebliche Hacker Spotify möglicherweise einfach in eine defensive Position bringen wollen. Nach kurzer Zeit, nachdem sie das Konto gemolken haben, werden sie wahrscheinlich den Rest des Daten-Dumps veröffentlichen. Wenn dies ihr Ziel ist, wird es in Zukunft noch mehr Peinlichkeit geben, und Führungskräfte könnten ihre Positionen bei Spotify verlieren.” - Kevin Shahbazi

Warum Spotify??

Das Rätselhafteste an dem Spotify-Hack ist vielleicht, dass er ein so unwahrscheinliches Ziel ist. Für einen Cyber-Kriminellen ist die Verlockung eines kompromittierten PayPal- oder Online-Bankkontos Online-Banking sicher? Meistens, aber hier gibt es 5 Risiken, die Sie kennen sollten. Ist Online-Banking sicher? Meistens, aber hier gibt es 5 Risiken, die Sie kennen sollten Es gibt viel zu mögen über das Online-Banking. Es ist praktisch, kann Ihr Leben vereinfachen, Sie können sogar bessere Einsparungen erzielen. Aber ist Online-Banking so sicher und sicher, wie es sein sollte? Lesen Sie mehr ist unbestreitbar. Aber Spotify ist kein Finanzinstitut. Es ist eine Musik-Website. Ich habe Kevin gefragt, warum ein Hacker das Ziel treffen könnte.

“Der Angriffswert von Spotify oder anderen ähnlichen Diensten variiert von Hacker zu Hacker. In diesem Fall scheint Transparenz das wahrscheinlichste Motiv für das jüngste Leck zu sein, um der Öffentlichkeit zu zeigen, dass ihre Informationen nicht notwendigerweise sicher auf der Plattform sind und letztendlich die Marke in Verlegenheit bringen.” - Kevin Shahbazi

Viele Menschen möchten ihre Facebook-Konten mit Spotify verknüpfen. Dies vereinfacht die Anmeldung und fügt dem Dienst eine soziale Dimension hinzu. Benutzer können ihre Lieblingstitel mit ihren Freunden teilen und Empfehlungen erhalten.

Könnte dies zu weiteren Schmerzen für die betroffenen Benutzer führen? Möglicherweise sagte Kevin. Insbesondere wenn der Benutzer ein doppeltes Kennwort verwendet.

“Doppelte Kennwörter (oder die Wiederverwendung eines einzelnen Kennworts für verschiedene Dienste) können ein mögliches Problem darstellen. Da nun jeder auf Hunderte von Spotify-Anmeldungen zugreifen kann, erhalten sie damit den Schlüssel für alle anderen Konten und Dienste, die das durchgesickerte Kennwort verwenden..” - Kevin Shahbazi

Antwort von Spotify

Angesichts der Bekanntheit von Spotify war es unvermeidlich, dass das Unternehmen irgendwann ein Sicherheitsproblem hatte. In diesem Fall war es jedoch überraschend lässig.

“Während [in der Vergangenheit] sie proaktiv waren, Benutzerpasswörter für Konten zurückzusetzen, die scheinbar gehackt wurden, und sie sagten, dass sie häufig Websites wie Pastebin nach Spotify-Anmeldeinformationen scannen, haben sie dies trotz Hunderten der letzten angeblichen Hacks nicht getan von Spotify-Anmeldeinformationen, die online angezeigt werden.” - Kevin Shahbazi

Betroffene Kunden mussten sich aktiv an Spotify wenden, um wieder Zugriff auf ihre Konten zu erhalten. Laut Postings auf Twitter und verschiedenen Artikeln in der Technologiepresse war dies keine leichte Aufgabe. Leider ist dies für Spotify kein isoliertes Ereignis.

“Spotify hat die Existenz ähnlicher mutmaßlicher Hacks bestritten, die angeblich im November 2015 und erneut im letzten Februar stattgefunden haben. Insgesamt widersprechen die öffentlichen Äußerungen von Spotify den Erfahrungen ihrer Kunden.” - Kevin Shahbazi

Kevin ist nicht sicher, warum Spotify so vehement undurchsichtig war, ob es einen Hack gab (oder nicht), oder ob es ein Benutzerfehler war. Er macht sich jedoch Sorgen “Ihre mangelnde Transparenz schadet nur ihrer Marke, ihrem Ruf und vor allem ihren Kunden”.

Was können betroffene Benutzer tun??

Hunderte von Benutzern waren buchstäblich von der Leckage betroffen. Es besteht die Möglichkeit, dass mehr Konten kompromittiert wurden, aber noch nicht durchgesickert wurden. Ich fragte Kevin, welche Maßnahmen Spotify-Benutzer ergreifen sollten, um sich zu schützen.

“Unabhängig davon, ob gehackt wurde oder nicht, sollten alle Spotify-Benutzer über ihre Konten informiert sein. Diejenigen, deren Informationen manipuliert wurden, sollten ihre Anmeldeinformationen für Konten, die dasselbe Kennwort verwenden, umgehend ändern und die mit Spotify verknüpften Finanzkonten überwachen. Sie müssen sich auch an Spotify wenden, um sie über das Problem mit ihrem Konto zu informieren und sie zurückzusetzen.” - Kevin Shahbazi

Kevin fügte hinzu, dass diejenigen, die das Glück hatten, nicht in den Datenspeicher aufgenommen zu werden, auch Vorsichtsmaßnahmen treffen sollten. Er empfiehlt, dass alle Benutzer ihre Kennwörter zurücksetzen. Bei allen Geräten, auf denen Spotify installiert ist, melden sich die Benutzer ab und anschließend wieder an. Außerdem betonte er die Gefahr, sich auf doppelte Kennwörter zu verlassen.

“Dies ist ein weiterer Fall, in dem doppelte Kennwörter zurückgegeben werden, um denjenigen zu schaden, die einen einfachen Zugriff auf mehrere Konten suchen. Obwohl es so aussieht, als ob die Anmeldeinformationen von Spotify gehackt wurden und alle anderen Konten sicher sind, könnte ein doppeltes Kennwort verwendet werden, um sich erfolgreich bei anderen Konten mit diesen Informationen anzumelden und einen Dominoeffekt zu erzeugen.” - Kevin Shahbazi

Vorbeugen ist besser als die Heilung

Verbraucher können nicht verhindern, dass ihre Daten von einem von ihnen genutzten Dienst durchgesickert werden, da sie nicht in ihrer Hand liegen. Der Dienst muss über gute Sicherheitspraktiken und eine gute Kennworthygiene verfügen. Aber was können Verbraucher tun, um ihre Gefährdung durch zukünftige Leckagen zu begrenzen? Kevin betonte erneut, dass Benutzer doppelte Passwörter vermeiden und nach Möglichkeit die Zwei-Faktor-Authentifizierung verwenden sollten.

“Eine weitere Möglichkeit, mit der Leser sicherstellen können, dass ihre Kennwortsicherheit stark ist, ist die Verwendung der Zwei-Faktor-Authentifizierung (2FA). Was ist Zwei-Faktor-Authentifizierung und warum sollten Sie sie verwenden? Was ist Zwei-Faktor-Authentifizierung und warum sollten Sie Zwei-Faktor-Authentifizierung verwenden? Authentifizierung (2FA) ist eine Sicherheitsmethode, für die zwei verschiedene Methoden zum Nachweis Ihrer Identität erforderlich sind. Es wird häufig im Alltag verwendet. Zum Beispiel erfordert das Bezahlen mit einer Kreditkarte nicht nur die Karte, bei der der Benutzer zusätzlich zu einem Kennwort weitere Informationen angeben muss, z. B. einen Fingerabdruck, eine PIN oder eine Sicherheitsabfrage, die nur er hätte fähig anzubieten.” - Kevin Shahbazi

Wenig überraschend empfiehlt Kevin die Verwendung eines Passwort-Managers, um komplexe Passwörter sicher zu speichern. Er sagte “Passwort-Manager Wie Passwort-Manager Ihre Passwörter sicher aufbewahren Wie Passwort-Manager Ihre Passwörter sicher aufbewahren Kennwörter, die schwer zu knacken sind, sind ebenfalls schwer zu merken. Willst du sicher sein? Sie benötigen einen Passwortmanager. So funktionieren sie und wie schützen sie dich? Mehr lesen ist eine einfache Methode, um zu verhindern, dass Hacker in Ihrem Leben Verwüstungen anrichten. Diese verschlüsseln Kennwörter in einem sicheren "Tresor", auf den der Benutzer über ein Hauptkennwort zugreifen kann.” Er fügte hinzu, dass diese die Verwendung sicherer, komplexer Kennwörter erleichtern.

“Es gibt viele kostenlose, zuverlässige Passwort-Manager. Stellen Sie sicher, dass Sie einen seriösen verwenden. Viele von ihnen speichern nicht nur Ihr Passwort, sondern suchen nach Passwörtern “Injektion” Passwörter in die richtigen Felder einzufügen, anstatt nur aus der Zwischenablage zu kopieren und einzufügen. So vermeiden Sie einen Angriff mit Keyloggern.” - Kevin Shahbazi

Einpacken

Kevin ist vielleicht zu Recht durch die milde Reaktion von Spotify auf Hunderte ihrer Benutzerkonten, die auf Pastebin gesprüht werden, beunruhigt. Es bleibt abzuwarten, ob dieses Leck einmalig ist oder auf etwas Größeres hindeutet.

Wir haben versucht, mit Spotify Kontakt aufzunehmen, um diese Geschichte zu kommentieren, konnten dies jedoch nicht. Wenn wir von der Firma erfahren, werden wir diesen Artikel mit seiner Antwort aktualisieren.

Bildnachweise: Vdovichenko Denis / Shutterstock.com

Erfahren Sie mehr über: Sicherheitsverletzung, Spotify.