Comment spotify a été piqué, et pourquoi vous devriez prendre soin

La dernière fuite Spotify pourrait être le plus étrange encore. Des centaines de comptes ont été éclaboussé sur Pastebin. Ces comptes ont déjà été consultées, avec beaucoup d`avoir eu leurs e-mails ont changé. Mais non seulement nous ne savons pas qui est derrière la fuite, Spotify est catégorique, il n`a pas été piraté. Donc quoi vraiment

passe?

Pour le savoir, je me suis arrangé une conversation avec Kevin Shahbazi, expert en sécurité et PDG de la société de gestion de mot de passe LogMeOnce. Kevin lui-même a construit un nom dans l`industrie de la sécurité. Il a lancé plusieurs sociétés différentes INFOSEC, dont l`un - Trust Digital, qui se spécialisent dans la sécurité smartphone d`entreprise - a été acquise par McAfee en 2010.

L`expertise de Kevin dans le domaine de la sécurité est indéniable, et je voulais savoir ce qu`il a fait de cette dernière violation de données. Au cours d`une vague d`emails envoyés mardi soir, je l`ai grillé qui pourrait être derrière la fuite, ce qui était si mal avec la réponse de Spotify, et ce que les utilisateurs concernés peuvent faire pour se protéger.

L`anatomie de la fuite

Lorsque la débâcle Ashley Madison sauté comme un cantaloup surmûris, il a exposé les secrets sordides de millions sur le web sombre. La décharge de données, qui mesure dans les giga-octets, la liste de tout les informations biographiques des personnes inscrites du site, à même leurs préférences sexuelles de niche. Comment la fuite Spotify comparer?Ashley Madison Leak No Big Deal? Détrompez-vousAshley Madison Leak No Big Deal? Détrompez-vousDiscret en ligne site de rencontres Ashley Madison (cible principalement les conjoints tricherie) a été piraté. Toutefois, c`est un problème beaucoup plus grave que ce qui a été dépeint dans la presse, avec des implications considérables pour la sécurité des utilisateurs.Lire la suite

« En ce qui concerne la quantité de données a été divulgué, il a été mentionné que que non précisées une « centaines de comptes ont été compromis. Les informations de compte comme les détails de paiement et les informations de carte de crédit ne sont pas inclus dans la fuite, mais les courriels, noms d`utilisateur, mots de passe, type de compte et les détails supplémentaires compte étaient « -. Kevin Shahbazi

Il n`y a toujours pas d`information sur qui était derrière l`attaque, bien qu`il a été publié par un utilisateur sous le nom de «Drakia12« Sur Pastebin. Kevin est ouvert à la possibilité que la décharge elle-même peut-être pas tout ce nouveau, et au lieu provenait de comptes qui avaient déjà été divulgués sur Dark Web, et entrons dans une circulation plus large. Logins pour Spotify et d`autres sites de streaming comme Netflix, sont disponibles à l`achat sur les parties de l`Internet plus sombres, et selon un rapport de McAfee Labs, ces connexions sont diffusées en permanence par les cyber-criminels une fois qu`ils ont été compromis ».

Kevin a également laissé entendre qu`une attaque « force brute » pourrait être derrière la fuite, en disant: « Une autre source possible [de la fuite] est un programme utilisé pour « peigne » par les mots de passe, ou simplement essayer plusieurs combinaisons de mots de passe différents jusqu`à ce qu`il trouve le bon un".

Cela semble peu probable, étant donné que la plupart des services limitent maintenant la quantité de tentatives de connexion infructueuses, un utilisateur peut faire. Cependant, il est impossible. En 2009, les comptes Twitter de Rick Sanchez, Bill O`Reilly, et Britney Spears ont été compromis par des pirates, et les messages injurieux ont été affichés.

sancheztwitter

Cette attaque n`a été possible que parce que, à l`époque, Twitter n`a pas limité les tentatives de connexion, et un administrateur a un mot de passe faible dictionnaire (il était "bonheur").

Je voulais savoir comment cette fuite par rapport à d`autres fuites de haut niveau, comme le Ashley Madison, PlayStation Network, et les fuites Mate1. Kevin a dit que, contrairement à d`autres autres fuites notables, Spotify est pas « posséder » elle. Ils ne prennent pas la responsabilité. De même, at-il ajouté, sont-ils « être proactif dans la protection de l`information de leurs clients ». Shahbazi inquiète également que la fuite pourrait être l`ouverture de quelque chose de beaucoup plus grand.

« En publiant un petit échantillon de données présumés pirates auraient simplement voulu mettre Spotify dans une position défensive. Puis, après un court moment, après avoir trait au compte, ils vont probablement publier le reste de la décharge de données. Si tel est leur but, alors plus d`embarras est à venir, et les cadres pourraient finir par perdre leurs positions à Spotify. » - Kevin Shahbazi

Pourquoi Spotify?

Peut-être ce qui est le plus étonnant, Spotify est bidouille que c`est une telle cible improbable. Pour un cyber-criminel, l`allure d`un compromis ou PayPal compte bancaire en ligne est indéniable. Mais Spotify est pas une institution financière. C`est un site de musique. J`ai demandé à Kevin pourquoi un pirate pourrait cibler.Services bancaires en ligne est-il sécurisé? 5 Risques qui devrait vous inquiéterServices bancaires en ligne est-il sécurisé? 5 Risques qui devrait vous inquiéterIl y a beaucoup à dire sur la banque en ligne. Il est pratique, peut vous simplifier la vie, vous pourriez même obtenir de meilleurs taux d`épargne. Mais la banque en ligne en toute sécurité comme il devrait être?Lire la suite

« La valeur en attaquant Spotify, ou d`autres services similaires, varie d`un pirate informatique hacker. Dans ce cas, la transparence semble être le motif le plus probable derrière la fuite récente, de montrer au public que leurs informations sont pas nécessairement sécurisés avec la plate-forme, et en fin de compte, occasionnant une gêne à la marque. » - Kevin Shahbazi

Beaucoup de gens choisissent de lier leurs comptes Facebook avec Spotify. Cela simplifie la connexion et ajoute également une dimension sociale au service. Les utilisateurs peuvent partager leurs morceaux préférés avec leurs amis, et obtenir des recommandations.

Profil

ce conducteur pourrait faire avancer la douleur pour les utilisateurs touchés? Potentiellement, Kevin. Surtout si l`utilisateur utilise un mot de passe en double.

« Les mots de passe en double (ou la réutilisation d`un seul mot de passe à travers différents services) pourrait être un problème potentiel. Depuis tout le monde peut désormais accéder à des centaines de connexions Spotify, ce qui leur donne la clé de tous les autres comptes et services qui utilisent le mot de passe fuite). » - Kevin Shahbazi

Video: Pourquoi manger l'ail tout le jour ?

Réponse de Spotify

Étant donné le profil élevé de Spotify, il était inévitable que la société finirait par connaître une sorte de problème de sécurité. Mais dans ce cas, il a été étonnamment nonchalant à propos de tout.

« Alors que [dans le passé], ils ont été proactifs dans la réinitialisation des mots de passe de l`utilisateur pour les comptes qui semblent être piraté, et ont dit qu`ils balayent souvent des sites tels que Pastebin des informations d`identification Spotify, ils n`ont pas fait avec le plus récent piratage présumé, en dépit des centaines de lettres de créance Spotify apparaissant en ligne. » - Kevin Shahbazi

Les clients concernés ont dû rejoindre activement à Spotify pour retrouver l`accès à leurs comptes. Selon messages sur Twitter et divers articles dans la presse technologique, cela n`a pas été une tâche facile. Malheureusement, ce n`est pas un événement isolé pour Spotify.

« Spotify a nié l`existence même hacks présumés qui ont eu lieu en soi-disant Novembre 2015 et à nouveau ce passé Février. Dans l`ensemble, les déclarations publiques de Spotify contredisent l`expérience de leurs clients. » - Kevin Shahbazi

Kevin ne sait pas pourquoi Spotify a été avec tant de véhémence opaque sur l`existence (ou non) d`un hack, ou si elle a été victime d`une erreur de l`utilisateur. Cependant, il craint que « leur manque de transparence est mal seulement leur marque, la réputation, et surtout, leurs clients ».

Video: "ça pique!" ou comment soigner de méchantes piqûres d'orties..

Que puis-utilisateurs concernés?

Des centaines d`utilisateurs ont été touchés par la fuite. Il y a une possibilité très réelle que plusieurs comptes ont été compromis, mais tout simplement pas encore été divulgué. J`ai demandé Kevin quelles mesures les utilisateurs de Spotify devraient prendre pour se protéger.

« Que ce soit piraté ou non, tous les utilisateurs de Spotify doivent être conscients de leurs comptes. Pour ceux dont l`information a été compromise, ils doivent immédiatement modifier leurs informations de connexion pour tous les comptes qui ont utilisé le même mot de passe, ainsi que le suivi des comptes financiers qui peuvent être liés à Spotify. Ils doivent également contacter Spotify pour leur faire savoir de la question avec leur compte ainsi que pour le réinitialiser. » - Kevin Shahbazi

LeakedAccounts

Kevin a ajouté que ceux qui ont eu la chance de ne pas être inclus dans le dépôt de données devrait également prendre des précautions. Il recommande que tous les utilisateurs réinitialiser leurs mots de passe, et sur tous les appareils où Spotify est installé, les utilisateurs se déconnectent, puis reconnectez-vous. Il a également souligné les dangers de se fier sur les mots de passe en double.

« Ceci est encore un autre cas dans lequel les mots de passe en double reviennent à nuire à ceux qui recherchent la facilité d`accès à plusieurs comptes. Bien qu`il puisse sembler juste comme les informations de connexion de Spotify a été piraté et tous les autres comptes sont sûrs, si un mot de passe en double a été utilisé, il pourrait être utilisé pour se connecter avec succès à d`autres comptes en utilisant cette information, créant un effet domino. » - Kevin Shahbazi

Video: Prendre soin de soi

Mieux vaut prévenir que guérir

Il est impossible pour les consommateurs d`empêcher que leurs données d`être divulguées par un service qu`ils utilisent, puisque ce n`est pas dans leurs mains. Le service doit avoir de bonnes pratiques de sécurité, et une bonne hygiène de mot de passe. Mais ce que les consommateurs peuvent faire pour limiter leur exposition aux fuites futures? Kevin a souligné à nouveau que les utilisateurs devraient éviter les mots de passe en double, et où l`utilisation possible l`authentification à deux facteurs.

« Une autre façon que les lecteurs puissent assurer leur sécurité par mot de passe est forte est en utilisant authentification à deux facteurs (2FA), où en plus d`un mot de passe, les utilisateurs doivent fournir une autre information, comme une empreinte digitale, PIN ou question de sécurité, qui ne ils seraient en mesure de fournir. » - Kevin ShahbaziQu`est-ce que deux facteurs d`authentification, et pourquoi vous devriez l`utiliserQu`est-ce que deux facteurs d`authentification, et pourquoi vous devriez l`utiliserL`authentification à deux facteurs (2FA) est une méthode de sécurité qui nécessite deux façons de prouver votre identité différentes. Il est couramment utilisé dans la vie quotidienne. Par exemple payant avec une carte de crédit exige non seulement la carte, ...Lire la suite

Sans surprise, Kevin recommande l`utilisation d`un gestionnaire de mot de passe, afin de stocker en toute sécurité des mots de passe complexes. Il a dit "un gestionnaire de mot de passe est un moyen simple pour empêcher les pirates de faire des ravages sur votre vie. Ces mots de passe Crypter dans une « chambre forte » sécurisée, que l`utilisateur peut accéder par un mot de passe maître. » Il a ajouté que ceux-ci rendent plus facile à utiliser, les mots de passe complexes sécurisés.Comment les gestionnaires de mot de passe Gardez vos mots de passeComment les gestionnaires de mot de passe Gardez vos mots de passeLes mots de passe qui sont difficiles à craquer sont également difficiles à retenir. Vous voulez être sûr? Vous avez besoin d`un gestionnaire de mot de passe. Voici comment ils fonctionnent et comment ils vous garder en sécurité.Lire la suite

« Il y a beaucoup de gestionnaires de mot de passe libres, fiables. Assurez-vous que vous utilisez une bonne réputation. Beaucoup d`entre eux font plus de stocker tout simplement votre mot de passe, rechercher ceux qui utilisent « injection » pour insérer des mots de passe dans les champs appropriés, plutôt que de simplement copier et coller à partir du presse-papiers. Cela vous aide à éviter d`être attaqué par keyloggers. » - Kevin Shahbazi

Emballer

Kevin, peut-être à juste titre, est perturbé par la légère réaction par Spotify à des centaines de leurs comptes d`utilisateurs vaporisée sur Pastebin. Que cette fuite est un unique ou si elle est une indication de quelque chose de plus à venir reste à voir.

Nous avons essayé d`entrer en contact avec Spotify pour commenter cette histoire, mais ont été incapables de le faire. Si nous entendons de retour de la compagnie, nous mettrons à jour cet article avec sa réponse.

Articles connexes