Ana Sayfa Güvenlik Spotify Nasıl Stunk Edildi Ve Neden Dikkat Etmelisiniz

Spotify Nasıl Stunk Edildi Ve Neden Dikkat Etmelisiniz

  • William Charles
  • 0
  • 2930
  • 490
reklâm

En son Spotify sızıntısı en garip olanı olabilir. Pastebin'de yüzlerce hesap oluşturuldu. Bu hesaplara zaten erişilmiş, birçoğunun e-postaları değişmiş. Ancak sadece sızıntının arkasında kim olduğunu bilmiyoruz, Spotify da saldırıya uğramamış. Yani ne Gerçekten mi devam ediyor?

Bunu öğrenmek için, güvenlik uzmanı ve şifre yönetim şirketi LogMeOnce CEO'su Kevin Shahbazi ile sohbet ettik. Kevin güvenlik endüstrisinde kendine bir isim yaptı. 2010'da McAfee tarafından satın alınan, bir tanesi - kurumsal dijital akıllı telefon güvenliği konusunda uzmanlaşmış Trust Digital olmak üzere birkaç farklı infosec şirketi kurdu..

Kevin'in güvenlik alanındaki uzmanlığı inkar edilemez ve bu son veri ihlaliyle ne yaptığını bulmak istedim. Salı akşamı gönderilen bir e-posta telaşı üzerinden, sızıntının arkasında kimin olabileceği, Spotify'ın tepkisinde neyin yanlış olduğu ve etkilenen kullanıcıların kendilerini korumak için neler yapabileceği üzerine ızgara yaptım.

Sızıntının Anatomisi

Ne zaman Ashley Madison debacle olgunlaşmış bir kavun gibi attı Ashley Madison Leak No Big Deal? Tekrar Düşün Ashley Madison Büyük Anlaşma Yapmaz mı? Tekrar düşünün Gizli çevrimiçi tanışma siteleri Ashley Madison (öncelikle hile yapan eşleri hedef alan) saldırıya uğradı. Ancak bu, kullanıcı güvenliği için önemli etkileri olan, basında tasvir edilenden çok daha ciddi bir konudur. Bu milyonlarca sırrını Karanlık ağın üzerine sundu. Gigabayt olarak ölçülen veri dökümü, sitenin kayıt sahiplerinin biyografik bilgilerinden niş cinsel tercihlerine bile kadar her şeyi listeledi. Spotify sızıntısı nasıl karşılaştırılır??

“Ne kadar verinin sızdırıldığı kadarıyla, sadece belirtilmemiş bir “yüzlerce” hesaptan ödün verildiğine değinildi. Ödeme bilgileri ve kredi kartı bilgileri gibi hesap bilgileri sızıntıya dahil edilmedi, ancak e-postalar, kullanıcı adları, şifreler, hesap türü ve ek hesap bilgileri.” - Kevin Shahbazi

Bir kullanıcı tarafından 'adına göre yayınlanmış olmasına rağmen, saldırının arkasında kimin olduğu hakkında henüz bir bilgi yok.Drakia12'Pastebin'de. Kevin, çöplüğün kendisinin bu kadar yeni olamayabileceği ihtimaline açık ve bunun yerine, Karanlık Web'e zaten sızmış olan hesaplardan geliyordu. Gizli Web'e Yolculuk: Yeni Araştırmacılar İçin Gizli Web'e Yolculuk: Bir Rehber Yeni Araştırmacılar İçin Bu kılavuz sizi derin ağın birçok seviyesinden bir tura çıkaracaktır: akademik dergilerde bulunan veritabanları ve bilgiler. Sonunda, Tor'un kapılarına varacağız. ve şimdi daha geniş bir dolaşıma giriyorlar. Spotify için Girişler ve Netflix gibi diğer akış siteleri Internet’in katil bölümlerinde satın alınabilir ve bir McAfee Labs raporuna göre, bu girişler tehlikeye girdikten sonra sürekli olarak siber suçlular tarafından dağıtılmaktadır”.

Kevin ayrıca bir “kaba kuvvet” saldırı sızıntının arkasında olabilir, “Sızıntının olası bir başka kaynağı, şifreleri 'taramak' veya doğru olanı bulana kadar yalnızca birden fazla farklı şifre kombinasyonunu denemek için kullanılan bir programdır”.

Bu pek olası görünmüyor, çünkü çoğu hizmet artık bir kullanıcının yapabileceği başarısız giriş denemesi miktarını sınırlıyor. Ancak, imkansız değil. 2009 yılında, Rick Sanchez, Bill O'Reilly ve Britney Spears'ın Twitter hesapları hackerlar tarafından ele geçirildi ve saldırgan mesajlar gönderildi.

Bu saldırı yalnızca mümkündü çünkü o sırada Twitter giriş denemelerini sınırlamadı ve bir yöneticinin zayıf bir sözlük şifresi vardı. “mutluluk”).

Bu sızıntının, Ashley Madison, PlayStation Network ve Mate1 sızıntıları gibi diğer yüksek profilli sızıntılarla karşılaştırıldığında nasıl olduğunu bilmek istedim. Kevin, diğer önemli sızıntıların aksine, Spotify'ın olmadığını söyledi. “sahip olan” o. Sorumluluk almıyorlar. Ayrıca ekledi, öyle değil mi “Müşterilerinin bilgilerini korumada proaktif olma”. Shahbazi, sızıntının çok daha büyük bir şeyin üstesinden gelebileceği konusunda da endişeli.

“Bilgisayar korsanlarının küçük bir veri örneği yayınlayarak, Spotify'ı savunmacı bir konuma sokmak isteyebilecekleri söylenebilir. Kısa bir süre sonra, hesabı sağtıktan sonra, muhtemelen veri dökümünün geri kalanını yayınlayacaklardır. Bu onların hedefi ise, o zaman daha fazla utanç verici olmaktır ve yöneticiler Spotify'daki konumlarını kaybedebilir.” - Kevin Shahbazi

Neden Spotify?

Belki de Spotify hack'le ilgili en şaşırtıcı olan şey, bunun olası bir hedef olmaması. Siber suçlular için, tehlikeye atılmış bir PayPal veya çevrimiçi bankacılık hesabının cazibesi İnternet Şubesi Güvenli mi? Çoğunlukla, Ancak Burada Çevrimiçi Bankacılık Güvenli mi? Çoğunlukla, Ama İşte Hakkında Bilmeniz Gereken 5 Risk Var İnternet bankacılığı hakkında beğeneceğiniz çok şey var. Kullanışlı, hayatınızı kolaylaştırabilir, hatta daha iyi tasarruf oranları elde edebilirsiniz. Peki, çevrimiçi bankacılık olması gerektiği kadar güvenli ve güvenli mi? inkar edilemez. Ancak Spotify finansal bir kurum değil. Bu bir müzik sitesi. Kevin'e neden bir bilgisayar korsanının hedef alabileceğini sordum.

“Spotify veya diğer benzeri servislere saldırmanın değeri bilgisayar korsanından bilgisayar korsanına kadar değişir. Bu durumda, şeffaflık, son sızıntının ardındaki en muhtemel sebep gibi gözüküyor, kamuoyuna bilgilerinin platformda mutlaka güvende olmadığını ve nihayetinde markayı utandırdığını gösteriyor.” - Kevin Shahbazi

Birçok kişi Facebook hesaplarını Spotify ile ilişkilendirmeyi seçiyor. Bu, oturum açmayı kolaylaştırır ve ayrıca hizmete sosyal bir boyut kazandırır. Kullanıcılar en sevdikleri parçaları arkadaşlarıyla paylaşabilir ve öneriler alabilir..

Bu, etkilenen kullanıcılar için daha fazla acıya yol açabilir mi? Potansiyel olarak, Kevin dedi. Özellikle kullanıcı yinelenen bir şifre kullanıyorsa.

“Yinelenen şifreler (veya farklı servislerde tek bir şifrenin tekrar kullanılması) olası bir sorun olabilir. Artık herkes yüzlerce Spotify girişine erişebildiğinden, bu onlara sızdırılmış şifreyi kullanan diğer tüm hesapların ve hizmetlerin anahtarını verir).” - Kevin Shahbazi

Spotify kullanıcısının yanıtı

Spotify'ın yüksek profili göz önüne alındığında, şirketin sonunda bir tür güvenlik sorunu yaşaması kaçınılmazdı. Ancak bu durumda, her şey hakkında şaşırtıcı derecede kayıtsız olmuştur.

“[Geçmişte], saldırıya uğramış gibi görünen hesaplar için kullanıcı şifrelerini sıfırlama konusunda proaktifler ve sık sık Spotify kimlik bilgileri için Pastebin gibi siteleri taradıklarını söylemiş olsalar da, yüzlerce olmasına rağmen en son iddia edilen hacklerle yapmadılar. çevrimiçi görünen Spotify kimlik bilgileri.” - Kevin Shahbazi

Etkilenen müşteriler, hesaplarına tekrar erişebilmek için Spotify'a aktif olarak ulaşmak zorunda kaldı. Twitter'daki yayınlara ve teknoloji basınındaki çeşitli makalelere göre, bu kolay bir iş değildi. Ne yazık ki, bu Spotify için izole edilmiş bir etkinlik değil.

“Spotify, kasım 2015'te ve yine bu şubat ayında gerçekleştiği iddia edilen hacklerin iddialarını reddetti. Genel olarak, Spotify'ın kamuya açık beyanları, müşterilerinin deneyimleriyle çelişmektedir.” - Kevin Shahbazi

Kevin, Spotify'ın neden bir kesmenin varlığı (ya da başka türlü) veya kullanıcı hatasının kurbanı olup olmadığı konusunda bu kadar opak davrandığından emin değil. Ancak, o endişeli “şeffaflık eksikliği sadece markalarına, itibarlarına ve hepsinden önemlisi müşterilerine zarar veriyor”.

Etkilenen Kullanıcılar Ne Yapabilir??

Kelimenin tam anlamıyla yüzlerce kullanıcı sızıntıdan etkilendi. Daha fazla hesabın riske atılması ancak henüz henüz sızdırılmadığı çok gerçek bir ihtimal. Kevin’e Spotify kullanıcılarının kendilerini korumak için ne gibi önlemler alması gerektiğini sordum..

“Saldırılmış olsun veya olmasın, tüm Spotify kullanıcıları hesaplarının farkında olmalıdır. Bilgilerini tehlikeye atanlar için, aynı şifreyi kullanan tüm hesaplar için giriş bilgilerini hemen değiştirmeleri ve Spotify ile bağlantılı olabilecek finansal hesapları izlemeleri gerekir. Ayrıca, hesaplarındaki sorunu bilmelerine ve sıfırlamalarına izin vermek için Spotify ile iletişim kurmaları gerekir..” - Kevin Shahbazi

Kevin, veri dökümüne dahil edilmeyecek kadar şanslı olanların da önlem alması gerektiğini ekledi. Tüm kullanıcıların şifrelerini sıfırlamalarını ve Spotify'ın yüklü olduğu tüm cihazlarda, kullanıcıların oturumlarını kapatıp tekrar giriş yapmalarını önerir. Ayrıca, yinelenen şifrelere güvenmenin tehlikelerini vurguladı..

“Bu, yinelenen parolaların birden fazla hesaba erişim kolaylığı arayanlara zarar vermek için geri geldiği bir başka durumdur. Spotify'ın giriş bilgileri hacklenmiş ve diğer tüm hesaplar güvenli gibi görünse de, yinelenen bir şifre kullanılmışsa, bu bilgileri kullanan ve domino efekti oluşturan diğer hesaplara başarıyla giriş yapmak için kullanılabilir..” - Kevin Shahbazi

Önleme tedaviden daha iyidir

Tüketicilerin, ellerinde olmadığı için kullandıkları bir hizmet tarafından verilerinin sızdırılmasını önlemek mümkün değildir. Hizmetin iyi güvenlik uygulamaları ve iyi şifre hijyeni olması gerekir. Ancak tüketiciler gelecekteki sızıntılara maruz kalmalarını sınırlamak için ne yapabilir? Kevin, kullanıcıların yinelenen parolalardan kaçınmaları gerektiğini ve mümkün olduğunda iki faktörlü kimlik doğrulaması kullanmaları gerektiğini vurguladı..

“Okuyucuların parola güvenliğinin güçlü olmasını sağlayabilmesinin bir başka yolu, iki faktörlü kimlik doğrulaması (2FA) İki Faktörlü Kimlik Doğrulama Nedir, Neden Kullanmalısınız? İki Faktörlü Kimlik Doğrulama Nedir ve Neden İki Faktör Kullanmalısınız? kimlik doğrulama (2FA), kimliğinizi kanıtlamak için iki farklı yol gerektiren bir güvenlik yöntemidir. Günlük yaşamda yaygın olarak kullanılır. Örneğin, bir kredi kartıyla ödeme yapmak, yalnızca kartı gerektirmez,… bir parolaya ek olarak, kullanıcıların yalnızca parmak izi, PIN veya güvenlik sorusu gibi başka bir bilgiyi de sağlamaları gerekir. sağlamak.” - Kevin Shahbazi

Şaşırtıcı olmayan bir şekilde, Kevin, karmaşık şifreleri güvenli bir şekilde saklamak için bir şifre yöneticisi kullanılmasını önerir. Dedi “Bir şifre yöneticisi Şifre Yöneticileri Şifrelerinizi Nasıl Güvende Tutur? Şifre Yöneticileri Şifrelerinizi Nasıl Güvende Tutun? Kırılması zor olan şifrelerin hatırlanması da zordur. Güvende olmak ister misiniz? Bir şifre yöneticisine ihtiyacınız var. İşte nasıl çalıştıkları ve sizi nasıl güvende tutacakları. bilgisayar korsanlarının hayatınıza zarar vermesini önlemenin basit bir yoludur. Bunlar, şifreleri kullanıcının bir ana şifre ile erişebileceği güvenli bir 'kasada' şifreler..” Bunların güvenli, karmaşık şifreler kullanmayı kolaylaştıracağını ekledi..

“Birçok ücretsiz, güvenilir şifre yöneticisi var. Saygın bir tane kullandığınızdan emin olun. Birçoğu sadece şifrenizi saklamaktan daha fazlasını yapar, bu nedenle kullananları arayın “enjeksiyon” Parolaları panoya kopyalamak ve yapıştırmak yerine doğru alanlara eklemek. Bu, keylogger'lar tarafından saldırıya uğramamak için yardımcı olur.” - Kevin Shahbazi

Kaydırma

Belki de haklı olarak, Kevin, Spotify'ın Pastebin'e yüzlerce kullanıcı hesabına aktarılan hafif tepkileri karşısında rahatsızlık duyuyor. Bu sızıntının bir kereye mahsus olması mı yoksa gelmesi daha büyük bir şeyin göstergesi olup olmadığı görülüyor.

Bu hikaye hakkında yorum yapmak için Spotify ile iletişim kurmaya çalıştık, ancak başaramadık. Şirketten haber alırsak, bu makaleyi yanıtı ile güncelleriz..

Resim Kredisi: Vdovichenko Denis / Shutterstock.com




Henüz no comments

3Doodler 3D Kalem İncelemesi Oluştur
Ürün Yorumları
Sony PlayStation 4 Pro İnceleme
Ürün Yorumları
Blackview R6 İnceleme
Ürün Yorumları
Modern teknoloji hakkında basit ve uygun fiyatlı.
Modern teknoloji dünyasında rehberiniz. Her gün bizi çevreleyen teknolojileri ve araçları nasıl kullanacağınızı ve Internet'te ilginç şeyleri nasıl keşfedeceğinizi öğrenin.