La dernière fuite de Spotify pourrait être la plus étrange. Des centaines de comptes ont été éclaboussés sur Pastebin. Ces comptes ont déjà été consultés, beaucoup ayant eu leurs emails modifiés. Mais non seulement nous ne savons pas qui est derrière la fuite, Spotify est catégorique qu'il n'a pas été piraté. Alors, que se passe-t-il vraiment ?
Pour le savoir, j'ai organisé une conversation avec Kevin Shahbazi, expert en sécurité et PDG de la société de gestion de mots de passe LogMeOnce. Kevin s'est construit un nom dans l'industrie de la sécurité. Il a lancé plusieurs sociétés d'infosec, dont une - Trust Digital, spécialisée dans la sécurité des smartphones d'entreprise, a été acquise par McAfee en 2010.
L'expertise de Kevin dans le domaine de la sécurité est indéniable, et je voulais savoir ce qu'il a fait de cette dernière violation de données. Au cours d'une série de courriels envoyés un mardi soir, je lui ai demandé qui pourrait être à l'origine de la fuite, ce qui était si mauvais avec la réponse de Spotify, et ce que les utilisateurs concernés peuvent faire pour se protéger.
L'anatomie de la fuite
Lorsque la débâcle Ashley Madison a sauté comme un cantaloup trop mûre Ashley Madison Leak No Big Deal? Réfléchissez encore Ashley Madison Fuite No Big Deal? Think Again Site de rencontre en ligne discret Ashley Madison (ciblant principalement les conjoints tricheurs) a été piraté. Cependant, cette question est beaucoup plus grave que celle qui a été décrite dans la presse, avec des implications considérables pour la sécurité des utilisateurs. Lire la suite, il a exposé les secrets sordides de millions sur le web sombre. Le fichier de données, mesuré en gigaoctets, répertoriait tout, depuis les informations biographiques des déclarants du site jusqu'à leurs préférences sexuelles de niche. Comment la fuite de Spotify se compare-t-elle?
"En ce qui concerne la quantité de données qui ont été divulguées, il a seulement été mentionné qu'une" centaines "de comptes non spécifiés ont été compromis. Les informations de compte telles que les détails de paiement et les informations de carte de crédit n'étaient pas incluses dans la fuite, mais les e-mails, les noms d'utilisateur, les mots de passe, le type de compte et les détails de compte supplémentaires étaient. »- Kevin Shahbazi
Il n'y a toujours aucune information sur qui était derrière l'attaque, bien qu'il ait été publié par un utilisateur sous le nom de ' Drakia12 ' sur Pastebin. Kevin est ouvert à la possibilité que la décharge elle-même ne soit pas tout à fait nouvelle, et provient plutôt de comptes qui avaient déjà été divulgués sur le Web sombre. Dans le Web caché: Guide pour les nouveaux chercheurs Voyage dans le Web caché: Guide Pour les nouveaux chercheurs Ce manuel vous fera découvrir les nombreux niveaux du web profond: bases de données et informations disponibles dans les revues académiques. Enfin, nous arriverons aux portes de Tor. Lire la suite, et entrent maintenant dans une circulation plus large. Logins pour Spotify, et d'autres sites de streaming comme Netflix, sont disponibles à l'achat sur les parties les plus floues d'Internet, et selon un rapport de McAfee Labs, ces connexions sont continuellement diffusées par les cybercriminels une fois qu'elles ont été compromises.
Kevin a également laissé entendre qu'une attaque de «force brute» pourrait être derrière la fuite, en disant: «Une autre source possible [de la fuite] est un programme utilisé pour« peigner »les mots de passe, ou simplement essayer plusieurs combinaisons de mots de passe différentes. un".
Cela semble peu probable, car la plupart des services limitent désormais le nombre de tentatives de connexion infructueuses qu'un utilisateur peut effectuer. Cependant, ce n'est pas impossible. En 2009, les comptes Twitter de Rick Sanchez, Bill O'Reilly et Britney Spears ont été compromis par des pirates et des messages offensants ont été affichés.
Cette attaque n'était possible que parce que, à l'époque, Twitter ne limitait pas les tentatives de connexion, et qu'un administrateur avait un mot de passe de dictionnaire faible (c'était "bonheur" ).
Je voulais savoir comment cette fuite se compare à d'autres fuites de grande envergure, comme les fuites Ashley Madison, PlayStation Network et Mate1. Kevin a dit que contrairement à d'autres fuites notables, Spotify ne le «possède» pas. Ils ne prennent pas la responsabilité. Ils ne sont pas non plus «proactifs dans la protection des informations de leurs clients». Shahbazi s'inquiète aussi que la fuite pourrait être l'ouverture de quelque chose de beaucoup plus grand.
"En publiant un petit échantillon de données, les hackers présumés auraient tout simplement voulu mettre Spotify dans une position défensive. Ensuite, après un court moment, après avoir trafiqué le compte, ils publieront probablement le reste de la sauvegarde des données. Si tel est leur objectif, alors plus d'embarras est à venir, et les cadres pourraient finir par perdre leurs positions chez Spotify. "- Kevin Shahbazi
Pourquoi Spotify?
Peut-être que ce qui est le plus déconcertant à propos du hack de Spotify, c'est que c'est une cible si improbable. Pour un cyber-criminel, l'attrait d'un compte PayPal ou d'un compte bancaire en ligne compromis est-il garanti? Surtout, mais voici 5 risques que vous devriez savoir sur les banques en ligne en toute sécurité? Surtout, mais voici 5 risques que vous devriez savoir sur Il ya beaucoup à aimer à propos des services bancaires en ligne. C'est pratique, peut vous simplifier la vie, vous pourriez même obtenir de meilleurs taux d'épargne. Mais la banque en ligne est-elle aussi sûre et sécurisée qu'elle devrait l'être? Lire la suite est indéniable. Mais Spotify n'est pas une institution financière. C'est un site de musique. J'ai demandé à Kevin pourquoi un hacker pourrait le cibler.
"L'intérêt d'attaquer Spotify, ou d'autres services similaires, varie d'un pirate à l'autre. Dans ce cas, la transparence semble être le motif le plus probable derrière la récente fuite, pour montrer au public que leurs informations ne sont pas forcément sécurisées avec la plate-forme et, finalement, embarrasser la marque. »- Kevin Shahbazi
Beaucoup de gens choisissent de lier leurs comptes Facebook avec Spotify. Cela simplifie la connexion et ajoute également une dimension sociale au service. Les utilisateurs peuvent partager leurs morceaux favoris avec leurs amis et obtenir des recommandations.
Cela pourrait-il entraîner des douleurs supplémentaires pour les utilisateurs concernés? Potentiellement, Kevin a dit. Surtout si l'utilisateur utilise un mot de passe en double.
"Les mots de passe en double (ou la réutilisation d'un mot de passe unique sur différents services) peuvent poser problème. Puisque tout le monde peut maintenant accéder à des centaines de connexions Spotify, cela leur donne la clé pour tous les autres comptes et services qui utilisent le mot de passe divulgué). »- Kevin Shahbazi
Réponse de Spotify
Compte tenu de la notoriété de Spotify, il était inévitable que l'entreprise connaisse un problème de sécurité. Mais dans ce cas, il a été étonnamment nonchalant à propos de tout.
"Alors qu'ils [par le passé] ont été proactifs en réinitialisant les mots de passe des comptes qui semblent piratés, et qu'ils ont souvent scanné des sites comme Pastebin pour les informations d'identification Spotify, ils ne l'ont pas fait des centaines d'informations d'identification Spotify apparaissent en ligne. "- Kevin Shahbazi
Les clients concernés ont dû contacter activement Spotify pour retrouver l'accès à leurs comptes. Selon les articles publiés sur Twitter, et divers articles dans la presse technologique, cela n'a pas été une tâche facile. Malheureusement, ce n'est pas un événement isolé pour Spotify.
"Spotify a nié l'existence de prétendus hacks présumés qui auraient eu lieu en novembre 2015 et encore en février dernier. Dans l'ensemble, les déclarations publiques de Spotify contredisent les expériences de leurs clients. »- Kevin Shahbazi
Kevin ne sait pas pourquoi Spotify a été si véhémentement opaque sur l'existence (ou pas) d'un hack, ou s'il a été victime d'une erreur de l'utilisateur. Cependant, il s'inquiète que «leur manque de transparence ne fait que nuire à leur marque, à leur réputation et, surtout, à leurs clients».
Que peuvent faire les utilisateurs affectés?
Littéralement des centaines d'utilisateurs ont été touchés par la fuite. Il y a une possibilité très réelle que plus de comptes ont été compromis, mais n'ont tout simplement pas encore été divulgués. J'ai demandé à Kevin quelles mesures les utilisateurs de Spotify devraient prendre pour se protéger.
"Qu'ils soient piratés ou non, tous les utilisateurs de Spotify doivent être conscients de leurs comptes. Pour ceux dont les informations ont été compromises, ils doivent immédiatement modifier leurs informations de connexion pour tous les comptes utilisant le même mot de passe, ainsi que surveiller tous les comptes financiers qui peuvent être liés à Spotify. Ils doivent également contacter Spotify pour les informer du problème avec leur compte et pour le réinitialiser. »- Kevin Shahbazi
Kevin a ajouté que ceux qui ont eu la chance de ne pas être inclus dans la décharge de données devraient également prendre des précautions. Il recommande à tous les utilisateurs de réinitialiser leurs mots de passe, et sur tous les appareils sur lesquels Spotify est installé, les utilisateurs se déconnectent, puis se reconnectent. Il a également souligné les dangers de s'appuyer sur des mots de passe en double.
"Ceci est encore un autre cas où les mots de passe en double reviennent à nuire à ceux qui recherchent la facilité d'accès à plusieurs comptes. Bien qu'il semble que les informations de connexion de Spotify aient été piratées et que tous les autres comptes soient sécurisés, un mot de passe dupliqué pourrait être utilisé pour se connecter à d'autres comptes en utilisant ces informations, créant ainsi un effet domino. »- Kevin Shahbazi
La prévention vaut mieux que le remède
Il est impossible pour les consommateurs d'éviter que leurs données ne soient divulguées par un service qu'ils utilisent, car ce n'est pas entre leurs mains. Le service doit avoir de bonnes pratiques de sécurité et une bonne hygiène des mots de passe. Mais que peuvent faire les consommateurs pour limiter leur exposition aux fuites futures? Kevin a souligné à nouveau que les utilisateurs devraient éviter les mots de passe en double et, dans la mesure du possible, utiliser l'authentification à deux facteurs.
"Une autre façon pour les lecteurs de s'assurer de la sécurité de leur mot de passe est d'utiliser l'authentification à deux facteurs (2FA). Qu'est-ce que l'authentification à deux facteurs? Pourquoi l'utiliser? Pourquoi l'utiliser à deux facteurs? L'authentification par facteur (2FA) est une méthode de sécurité qui nécessite deux manières différentes de prouver votre identité. Il est couramment utilisé dans la vie quotidienne. Par exemple payer avec une carte de crédit nécessite non seulement la carte, ... En savoir plus, où en plus d'un mot de passe, les utilisateurs sont tenus de fournir une autre information, comme un doigt, un code PIN ou une question de sécurité, qu'ils serait en mesure de fournir. "- Kevin Shahbazi
Sans surprise, Kevin recommande l'utilisation d'un gestionnaire de mots de passe, afin de stocker en toute sécurité des mots de passe complexes. Il a dit "un gestionnaire de mot de passe Comment les gestionnaires de mot de passe Gardez vos mots de passe en toute sécurité Comment les gestionnaires de mot de passe Gardez vos mots de passe en toute sécurité Les mots de passe difficiles à se frayer sont également difficiles à retenir. Voulez-vous être en sécurité? Vous avez besoin d'un gestionnaire de mot de passe. Voici comment ils fonctionnent et comment ils vous protègent. En savoir plus est un moyen simple d'empêcher les pirates de faire des ravages dans votre vie. Ceux-ci chiffrent les mots de passe dans un «coffre» sécurisé, auquel l'utilisateur peut accéder via un mot de passe maître. »Il a ajouté que ceux-ci facilitent l'utilisation de mots de passe complexes et sécurisés.
"Il existe de nombreux gestionnaires de mots de passe gratuits et fiables. Assurez-vous que vous utilisez un bon. Beaucoup d'entre eux font plus que simplement stocker votre mot de passe, alors cherchez ceux qui utilisent "injection" pour insérer des mots de passe dans les champs corrects, plutôt que simplement copier et coller à partir du presse-papiers. Cela vous aide à éviter d'être attaqué via des enregistreurs de frappe. "- Kevin Shahbazi
Emballer
Kevin, peut-être à juste titre, est perturbé par la légère réponse de Spotify à des centaines de comptes d'utilisateurs pulvérisés sur Pastebin. Que cette fuite soit ponctuelle ou indicative de quelque chose de plus grand à venir reste à voir.
Nous avons essayé de contacter Spotify pour commenter cette histoire, mais nous n'avons pas pu le faire. Si nous avons des nouvelles de l'entreprise, nous mettrons à jour cet article avec sa réponse.
Crédits d'image: Vdovichenko Denis / Shutterstock.com