Iklan

Itu kebocoran Spotify terbaru mungkin yang paling aneh. Ratusan akun telah dicipratkan ke Pastebin. Akun-akun ini sudah diakses, dan banyak yang sudah mengubah surelnya. Tapi kita tidak hanya tidak tahu siapa yang ada di balik kebocoran, Spotify bersikukuh ia belum diretas. Jadi apa Betulkah sedang terjadi?

Untuk mengetahuinya, saya mengatur obrolan dengan Kevin Shahbazi, pakar keamanan dan CEO perusahaan manajemen kata sandi LogMeOnce. Kevin telah membangun nama dirinya di industri keamanan. Dia telah meluncurkan beberapa perusahaan infosec yang berbeda, di antaranya - Trust Digital, yang berspesialisasi dalam keamanan smartphone tingkat perusahaan - diakuisisi oleh McAfee pada tahun 2010.

Keahlian Kevin di bidang keamanan tidak dapat disangkal, dan saya ingin mencari tahu apa yang dia buat dari pelanggaran data terbaru ini. Lebih dari sekian banyak email yang dikirim pada Selasa malam, saya memberi tahu siapa yang berada di balik kebocoran, apa yang salah dengan respons Spotify, dan apa yang dapat dilakukan pengguna yang terpengaruh untuk melindungi diri mereka sendiri.

instagram viewer

Anatomi Kebocoran

Ketika Ashley Madison hancur muncul seperti blewah yang terlalu matang Kebocoran Ashley Madison Bukan Masalah Besar? Pikirkan lagiSitus kencan online diam-diam Ashley Madison (yang ditargetkan terutama untuk pasangan yang selingkuh) telah diretas. Namun ini adalah masalah yang jauh lebih serius daripada yang digambarkan di media, dengan implikasi yang cukup besar bagi keselamatan pengguna. Baca lebih banyak , itu mengungkap rahasia kotor jutaan ke web Gelap. Tempat pembuangan data, yang diukur dalam gigabyte, mendaftar semuanya mulai dari informasi biografis para pendaftar situs, hingga preferensi seksual khusus mereka. Bagaimana perbandingan kebocoran Spotify?

"Sejauh berapa banyak data yang bocor, hanya ada disebutkan bahwa 'ratusan' akun telah dikompromikan. Informasi akun seperti detail pembayaran dan informasi kartu kredit tidak termasuk dalam kebocoran, tetapi email, nama pengguna, kata sandi, jenis akun, dan detail akun tambahan adalah " - Kevin Shahbazi

Masih belum ada informasi tentang siapa yang berada di balik serangan itu, meskipun itu dipublikasikan oleh pengguna dengan nama ‘Drakia12‘Di Pastebin. Kevin terbuka untuk kemungkinan bahwa dump itu sendiri mungkin tidak semua yang baru, dan bukannya berasal dari akun yang sudah bocor ke the Dark Web Journey Into The Hidden Web: Panduan Untuk Peneliti BaruManual ini akan membawa Anda melakukan tur melalui berbagai tingkatan web yang dalam: basis data dan informasi yang tersedia di jurnal akademik. Akhirnya, kita akan tiba di gerbang Tor. Baca lebih banyak , dan sekarang memasuki sirkulasi yang lebih luas. Login untuk Spotify, dan situs streaming lainnya seperti Netflix, tersedia untuk dibeli di bagian Internet yang lebih murkier, dan menurut sebuah laporan McAfee Labs, info masuk ini terus-menerus diedarkan oleh para penjahat dunia maya begitu mereka telah dikompromikan ”.

Kevin juga mengisyaratkan bahwa serangan "brute force" mungkin ada di balik kebocoran, dengan mengatakan, "Sumber lain yang mungkin [dari kebocoran] adalah program yang digunakan untuk 'menyisir' melalui kata sandi, atau hanya mencoba beberapa kombinasi kata sandi yang berbeda sampai menemukan yang benar satu".

Ini tampaknya tidak mungkin, karena sebagian besar layanan sekarang membatasi jumlah upaya login gagal yang dapat dilakukan pengguna. Namun, itu bukan tidak mungkin. Pada tahun 2009, akun Twitter Rick Sanchez, Bill O'Reilly, dan Britney Spears dikompromikan oleh peretas, dan pesan yang tidak sopan telah diposting.

sancheztwitter

Serangan ini hanya mungkin karena, pada saat itu, Twitter tidak membatasi upaya login, dan satu administrator memiliki kata sandi kamus yang lemah (dulu "kebahagiaan").

Saya ingin tahu bagaimana kebocoran ini dibandingkan dengan kebocoran profil tinggi lainnya, seperti Ashley Madison, PlayStation Network, dan kebocoran Mate1. Kevin mengatakan bahwa tidak seperti kebocoran terkenal lainnya, Spotify tidak "memiliki" itu. Mereka tidak bertanggung jawab. Dia menambahkan, mereka juga tidak "proaktif dalam melindungi informasi pelanggan mereka". Shahbazi juga khawatir bahwa kebocoran mungkin merupakan pembukaan sesuatu yang jauh lebih besar.

“Dengan menerbitkan sedikit sampel data yang diduga peretas mungkin hanya ingin menempatkan Spotify ke posisi defensif. Kemudian setelah beberapa saat, setelah mereka memerah susu akun, mereka kemungkinan akan menerbitkan sisa data dump. Jika itu tujuan mereka, maka lebih banyak rasa malu akan datang, dan para eksekutif bisa berakhir kehilangan posisi mereka di Spotify. ” - Kevin Shahbazi

Mengapa Spotify?

Mungkin yang paling membingungkan tentang hack Spotify adalah bahwa itu adalah target yang tidak mungkin. Untuk seorang penjahat dunia maya, daya pikat PayPal yang dikompromikan atau akun perbankan online Apakah Perbankan Online Aman? Sebagian Besar, Tapi Inilah 5 Risiko Yang Harus Anda KetahuiAda banyak hal yang disukai tentang perbankan online. Lebih mudah, dapat menyederhanakan hidup Anda, Anda bahkan mungkin mendapatkan tingkat tabungan yang lebih baik. Tetapi apakah perbankan online seaman dan seaman seharusnya? Baca lebih banyak tidak bisa dipungkiri. Tapi Spotify bukan lembaga keuangan. Itu adalah situs web musik. Saya bertanya kepada Kevin mengapa seorang hacker mungkin menargetkannya.

“Nilai dalam menyerang Spotify, atau layanan serupa lainnya, bervariasi dari peretas hingga peretas. Dalam hal ini, transparansi tampaknya menjadi motif yang paling mungkin di balik kebocoran baru-baru ini, untuk menunjukkan kepada publik bahwa itu adalah milik mereka informasi tidak harus aman dengan platform, dan pada akhirnya, menyebabkan rasa malu pada merek. " - Kevin Shahbazi

Banyak orang memilih untuk menautkan akun Facebook mereka dengan Spotify. Ini menyederhanakan login, dan juga menambahkan dimensi sosial ke layanan. Pengguna dapat berbagi trek favorit mereka dengan teman-teman mereka, dan mendapatkan rekomendasi.

Profil

Bisakah ini menyebabkan rasa sakit lebih lanjut bagi pengguna yang terpengaruh? Berpotensi, kata Kevin. Terutama jika pengguna menggunakan kata sandi rangkap.

“Kata sandi duplikat (atau menggunakan kembali kata sandi tunggal di berbagai layanan) dapat menjadi masalah potensial. Karena siapa pun sekarang dapat mengakses ratusan login Spotify, ini memberi mereka kunci ke akun dan layanan lain yang menggunakan kata sandi yang bocor). " - Kevin Shahbazi

Respons Spotify

Mengingat profil tinggi Spotify, tidak dapat dihindari bahwa perusahaan pada akhirnya akan mengalami semacam masalah keamanan. Tetapi dalam kasus ini, secara mengejutkan tidak acuh tentang segalanya.

“Sementara [di masa lalu] mereka telah proaktif dalam mengatur ulang kata sandi pengguna untuk akun yang tampaknya diretas, dan mengatakan mereka sering memindai situs seperti Pastebin untuk kredensial Spotify, mereka belum melakukannya dengan dugaan peretasan terbaru, meskipun ratusan kredensial Spotify muncul online. " - Kevin Shahbazi

Pelanggan yang terkena dampak harus secara aktif menjangkau Spotify untuk mendapatkan kembali akses ke akun mereka. Menurut posting di Twitter, dan berbagai artikel di pers teknologi, ini bukan tugas yang mudah. Sayangnya, ini bukan acara yang terisolasi untuk Spotify.

“Spotify membantah adanya dugaan peretasan serupa yang konon terjadi pada November 2015 dan lagi Februari lalu. Secara keseluruhan, pernyataan publik Spotify bertentangan dengan pengalaman pelanggan mereka. " - Kevin Shahbazi

Kevin tidak yakin mengapa Spotify sangat buram tentang keberadaan (atau sebaliknya) peretasan, atau apakah itu adalah korban kesalahan pengguna. Namun, ia khawatir bahwa "kurangnya transparansi hanya merusak merek, reputasi, dan yang terpenting, pelanggan mereka".

Apa Yang Dapat Dilakukan Pengguna Yang Terkena?

Secara harfiah ratusan pengguna telah dipengaruhi oleh kebocoran. Ada kemungkinan yang sangat nyata bahwa lebih banyak akun telah disusupi, tetapi belum dibocorkan. Saya bertanya kepada Kevin tindakan apa yang harus dilakukan pengguna Spotify untuk melindungi diri mereka sendiri.

“Baik diretas atau tidak, semua pengguna Spotify harus mengetahui akun mereka. Bagi mereka yang informasinya telah dikompromikan mereka harus segera mengubah informasi login mereka untuk apa pun akun yang menggunakan kata sandi yang sama, serta memantau setiap akun keuangan yang mungkin ditautkan Spotify. Mereka juga perlu menghubungi Spotify untuk memberi tahu mereka tentang masalah dengan akun mereka serta untuk mengatur ulangnya. " - Kevin Shahbazi

Akun Bocor

Kevin menambahkan bahwa mereka yang cukup beruntung untuk tidak dimasukkan dalam data dump juga harus mengambil tindakan pencegahan. Dia merekomendasikan bahwa semua pengguna mereset kata sandi mereka, dan pada semua perangkat tempat Spotify diinstal, pengguna keluar, dan kemudian masuk kembali. Dia juga menekankan bahaya mengandalkan duplikat kata sandi.

“Ini adalah kasus lain di mana kata sandi duplikat kembali untuk membahayakan mereka yang mencari kemudahan akses ke beberapa akun. Meskipun sepertinya informasi login Spotify diretas dan semua akun lainnya aman, jika ada duplikat kata sandi digunakan, itu dapat digunakan untuk berhasil masuk ke akun lain menggunakan informasi itu, menciptakan efek domino. " - Kevin Shahbazi

Pencegahan Lebih Baik Daripada Sembuh

Tidak mungkin bagi konsumen untuk mencegah data mereka bocor oleh layanan yang mereka gunakan, karena itu tidak ada di tangan mereka. Layanan harus memiliki praktik keamanan yang baik, dan kebersihan kata sandi yang baik. Tetapi apa yang dapat dilakukan konsumen untuk membatasi paparan terhadap kebocoran di masa mendatang? Kevin menekankan kembali bahwa pengguna harus menghindari duplikat kata sandi, dan jika memungkinkan gunakan otentikasi dua faktor.

“Cara lain agar pembaca dapat memastikan keamanan kata sandi mereka kuat adalah dengan memanfaatkan otentikasi dua faktor (2FA) Apa Otentikasi Dua Faktor, Dan Mengapa Anda Harus MenggunakannyaOtentikasi dua faktor (2FA) adalah metode keamanan yang membutuhkan dua cara berbeda untuk membuktikan identitas Anda. Ini biasa digunakan dalam kehidupan sehari-hari. Misalnya membayar dengan kartu kredit tidak hanya membutuhkan kartu, ... Baca lebih banyak , di mana selain kata sandi, pengguna diharuskan untuk memberikan informasi lain, seperti sidik jari, PIN, atau pertanyaan keamanan, yang hanya dapat mereka sediakan. ” - Kevin Shahbazi

Tidak mengherankan, Kevin merekomendasikan penggunaan pengelola kata sandi, untuk menyimpan kata sandi yang rumit dengan aman. Dia berkata "manajer kata sandi Bagaimana Pengelola Kata Sandi Menjaga Kata Sandi Anda AmanKata sandi yang sulit diretas juga sulit diingat. Ingin aman? Anda memerlukan pengelola kata sandi. Inilah cara mereka bekerja dan bagaimana mereka membuat Anda tetap aman. Baca lebih banyak adalah cara sederhana untuk mencegah peretas membuat kekacauan dalam hidup Anda. Enkripsi kata sandi ini dalam 'brankas' aman, yang dapat diakses pengguna melalui satu kata sandi utama. " Dia menambahkan bahwa ini membuatnya lebih mudah untuk menggunakan kata sandi yang aman dan kompleks.

“Ada banyak pengelola kata sandi gratis dan andal. Pastikan Anda menggunakan yang memiliki reputasi baik. Banyak dari mereka melakukan lebih dari sekadar menyimpan kata sandi Anda, jadi carilah yang menggunakan "injeksi" untuk memasukkan kata sandi di bidang yang benar, daripada hanya menyalin dan menempel dari clipboard. Ini membantu Anda menghindari serangan melalui keyloggers. ” - Kevin Shahbazi

Membungkus

Kevin, mungkin benar, terganggu oleh respons ringan oleh Spotify terhadap ratusan akun pengguna mereka yang disemprotkan di Pastebin. Apakah kebocoran ini hanya terjadi satu kali atau jika ini mengindikasikan sesuatu yang lebih besar masih harus dilihat.

Kami mencoba menghubungi Spotify untuk mengomentari cerita ini, tetapi tidak dapat melakukannya. Jika kami mendapat kabar dari perusahaan, kami akan memperbarui artikel ini dengan jawabannya.

Kredit Gambar: Vdovichenko Denis / Shutterstock.com

Matthew Hughes adalah pengembang dan penulis perangkat lunak dari Liverpool, Inggris. Dia jarang ditemukan tanpa secangkir kopi hitam pekat di tangannya dan benar-benar mengagumi Macbook Pro dan kameranya. Anda dapat membaca blognya di http://www.matthewhughes.co.uk dan ikuti dia di twitter di @matthewhughes.