Pagina principal Seguridad Cómo se picó Spotify y por qué debería importarle

Cómo se picó Spotify y por qué debería importarle

  • Mark Lucas
  • 0
  • 1850
  • 423
Anuncio

La última filtración de Spotify podría ser la más extraña hasta ahora. Cientos de cuentas se han salpicado en Pastebin. Ya se ha accedido a estas cuentas, y a muchos se les han cambiado sus correos electrónicos. Pero no solo no sabemos quién está detrás de la fuga, sino que Spotify insiste en que no ha sido pirateado. Entonces que es De Verdad pasando?

Para averiguarlo, organicé una conversación con Kevin Shahbazi, experto en seguridad y CEO de la firma de gestión de contraseñas LogMeOnce. Kevin se ha forjado un nombre en la industria de la seguridad. Ha lanzado varias compañías diferentes de infosec, de las cuales, McAfee adquirió en 2010 Trust Digital, que se especializa en seguridad de teléfonos inteligentes de nivel empresarial..

La experiencia de Kevin en el campo de la seguridad es innegable, y quería saber qué hizo con esta última violación de datos. Durante una ráfaga de correos electrónicos enviados el martes por la noche, le pregunté quién podría estar detrás de la filtración, qué estaba mal con la respuesta de Spotify y qué pueden hacer los usuarios afectados para protegerse..

La anatomía de la fuga

Cuando la debacle de Ashley Madison apareció como un melón demasiado maduro Ashley Madison Leak ¿No es gran cosa? Piense de nuevo Ashley Madison Fuga ¿No es gran cosa? El sitio de citas en línea discreto Ashley Madison (dirigido principalmente a los cónyuges infieles) ha sido pirateado. Sin embargo, este es un problema mucho más grave de lo que se ha retratado en la prensa, con considerables implicaciones para la seguridad del usuario. , expuso los sórdidos secretos de millones en la web oscura. El volcado de datos, que se midió en gigabytes, enumeró todo, desde la información biográfica de los registrantes del sitio, hasta sus preferencias sexuales de nicho. ¿Cómo se compara la fuga de Spotify??

“En cuanto a la cantidad de datos que se han filtrado, solo se ha mencionado que se han comprometido 'cientos' de cuentas no especificadas. La información de la cuenta, como los detalles de pago y la información de la tarjeta de crédito, no se incluyeron en la filtración, pero sí se incluyeron correos electrónicos, nombres de usuario, contraseñas, tipo de cuenta y detalles adicionales de la cuenta..” - Kevin Shahbazi

Todavía no hay información sobre quién estuvo detrás del ataque, aunque fue publicado por un usuario con el nombre de 'Drakia12'en Pastebin. Kevin está abierto a la posibilidad de que el basurero en sí mismo no sea tan nuevo, y en su lugar provenga de cuentas que ya se habían filtrado en el Dark Web Journey Into The Hidden Web: una guía para nuevos investigadores Journey Into The Hidden Web: una guía Para nuevos investigadores Este manual lo llevará en un recorrido por los muchos niveles de la web profunda: bases de datos e información disponible en revistas académicas. Finalmente, llegaremos a las puertas de Tor. , y ahora están entrando en una circulación más amplia. Los inicios de sesión para Spotify y otros sitios de transmisión como Netflix están disponibles para comprar en las partes más oscuras de Internet, y de acuerdo con un informe de McAfee Labs, estos ciberdelincuentes circulan continuamente una vez que han sido comprometidos”.

Kevin también insinuó que un “fuerza bruta” ataque podría estar detrás de la fuga, diciendo, “Otra posible fuente [de la fuga] es un programa utilizado para 'peinar' las contraseñas, o simplemente intentar múltiples combinaciones de contraseñas diferentes hasta que encuentre la correcta.”.

Esto parece poco probable, ya que la mayoría de los servicios ahora limitan la cantidad de intentos fallidos de inicio de sesión que un usuario puede hacer. Sin embargo, no es imposible. En 2009, las cuentas de Twitter de Rick Sánchez, Bill O'Reilly y Britney Spears fueron comprometidas por piratas informáticos, y se publicaron mensajes ofensivos.

Este ataque solo fue posible porque, en ese momento, Twitter no limitó los intentos de inicio de sesión, y un administrador tenía una contraseña de diccionario débil (era “felicidad”).

Quería saber cómo esta filtración se compara con otras filtraciones de alto perfil, como las filtraciones Ashley Madison, PlayStation Network y Mate1. Kevin dijo que a diferencia de otras filtraciones notables, Spotify no es “poseer” eso. No se hacen responsables. Tampoco, agregó, son ellos “ser proactivo en la protección de la información de sus clientes”. A Shahbazi también le preocupa que la filtración pueda ser la obertura de algo mucho más grande..

“Al publicar una pequeña muestra de datos, los presuntos piratas informáticos podrían simplemente haber querido poner a Spotify en una posición defensiva. Luego, después de un corto tiempo, después de haber ordeñado la cuenta, probablemente publicarán el resto del volcado de datos. Si ese es su objetivo, entonces vendrá más vergüenza, y los ejecutivos podrían terminar perdiendo sus puestos en Spotify.” - Kevin Shahbazi

Por que Spotify?

Quizás lo más desconcertante del truco de Spotify es que es un objetivo tan poco probable. Para un ciberdelincuente, el atractivo de una cuenta bancaria o de PayPal comprometida ¿Es segura la banca en línea? Principalmente, pero aquí hay 5 riesgos que debe conocer ¿Es segura la banca en línea? Principalmente, pero aquí hay 5 riesgos que debe conocer Hay mucho que le gusta de la banca en línea. Es conveniente, puede simplificar su vida, incluso puede obtener mejores tasas de ahorro. ¿Pero es la banca en línea tan segura como debería ser? Es innegable. Pero Spotify no es una institución financiera. Es un sitio web de música. Le pregunté a Kevin por qué un pirata informático podría apuntarlo.

“El valor de atacar Spotify u otros servicios similares varía de hacker a hacker. En este caso, la transparencia parece ser el motivo más probable detrás de la filtración reciente, para mostrarle al público que su información no es necesariamente segura con la plataforma y, en última instancia, causa vergüenza a la marca..” - Kevin Shahbazi

Muchas personas optan por vincular sus cuentas de Facebook con Spotify. Esto simplifica el inicio de sesión y también agrega una dimensión social al servicio. Los usuarios pueden compartir sus pistas favoritas con sus amigos y obtener recomendaciones.

¿Podría esto provocar más dolor para los usuarios afectados? Potencialmente, dijo Kevin. Especialmente si el usuario está usando una contraseña duplicada.

“Las contraseñas duplicadas (o la reutilización de una sola contraseña en diferentes servicios) podría ser un problema potencial. Dado que ahora cualquiera puede acceder a cientos de inicios de sesión de Spotify, esto les da la clave para cualquier otra cuenta y servicio que use la contraseña filtrada).” - Kevin Shahbazi

La respuesta de Spotify

Dado el alto perfil de Spotify, era inevitable que la compañía eventualmente experimentara algún tipo de problema de seguridad. Pero en este caso, ha sido sorprendentemente indiferente sobre todo.

“Si bien [en el pasado] han sido proactivos en restablecer las contraseñas de los usuarios para las cuentas que parecen haber sido pirateadas, y han dicho que a menudo escanean sitios como Pastebin en busca de credenciales de Spotify, no lo han hecho con el presunto pirateo más reciente, a pesar de cientos de las credenciales de Spotify que aparecen en línea.” - Kevin Shahbazi

Los clientes afectados han tenido que comunicarse activamente con Spotify para recuperar el acceso a sus cuentas. Según las publicaciones en Twitter y varios artículos en la prensa tecnológica, esta no ha sido una tarea fácil. Lamentablemente, este no es un evento aislado para Spotify.

“Spotify ha negado la existencia de presuntos hacks similares que supuestamente tuvieron lugar en noviembre de 2015 y nuevamente en febrero pasado. En general, las declaraciones públicas de Spotify contradicen las experiencias de sus clientes..” - Kevin Shahbazi

Kevin no está seguro de por qué Spotify ha sido tan opaco con vehemencia acerca de la existencia (o no) de un hack, o si fue víctima de un error del usuario. Sin embargo, le preocupa que “su falta de transparencia solo perjudica a su marca, reputación y, sobre todo, a sus clientes”.

¿Qué pueden hacer los usuarios afectados??

Literalmente, cientos de usuarios se han visto afectados por la fuga. Existe una posibilidad muy real de que se hayan comprometido más cuentas, pero aún no se han filtrado. Le pregunté a Kevin qué medidas deberían tomar los usuarios de Spotify para protegerse.

“Ya sea pirateado o no, todos los usuarios de Spotify deben conocer sus cuentas. Para aquellos cuya información se ha visto comprometida, deben cambiar de inmediato su información de inicio de sesión para cualquier cuenta que utilice la misma contraseña, así como monitorear cualquier cuenta financiera que pueda estar vinculada a Spotify. También deben ponerse en contacto con Spotify para informarles sobre el problema con su cuenta, así como para restablecerlo..” - Kevin Shahbazi

Kevin agregó que aquellos que tuvieron la suerte de no ser incluidos en el volcado de datos también deben tomar precauciones. Recomienda que todos los usuarios restablezcan sus contraseñas, y en todos los dispositivos donde está instalado Spotify, los usuarios cierran sesión y luego vuelven a iniciar sesión. También enfatizó los peligros de confiar en contraseñas duplicadas.

“Este es otro caso en el que las contraseñas duplicadas vuelven a dañar a aquellos que buscan facilidad de acceso a múltiples cuentas. Si bien puede parecer que la información de inicio de sesión de Spotify fue pirateada y todas las demás cuentas están seguras, si se usa una contraseña duplicada, podría usarse para iniciar sesión con éxito en otras cuentas utilizando esa información, creando un efecto dominó.” - Kevin Shahbazi

Prevenir es mejor que curar

Es imposible que los consumidores eviten que sus datos se filtren por un servicio que usan, ya que no está en sus manos. El servicio debe tener buenas prácticas de seguridad y una buena higiene de contraseña. Pero, ¿qué pueden hacer los consumidores para limitar su exposición a fugas futuras? Kevin volvió a enfatizar que los usuarios deben evitar contraseñas duplicadas y, cuando sea posible, usar autenticación de dos factores.

“Otra forma en que los lectores pueden garantizar que la seguridad de su contraseña es sólida es mediante la autenticación de dos factores (2FA) ¿Qué es la autenticación de dos factores y por qué debe usarla? ¿Qué es la autenticación de dos factores y por qué debe usarla? La autenticación (2FA) es un método de seguridad que requiere dos formas diferentes de demostrar su identidad. Se usa comúnmente en la vida cotidiana. Por ejemplo, pagar con una tarjeta de crédito no solo requiere la tarjeta ..., donde además de una contraseña, los usuarios deben proporcionar otra información, como una huella dactilar, un PIN o una pregunta de seguridad, que solo ellos podrían proporcionar.” - Kevin Shahbazi

Como era de esperar, Kevin recomienda el uso de un administrador de contraseñas, para almacenar de forma segura contraseñas complejas. Él dijo “un administrador de contraseñas Cómo los administradores de contraseñas mantienen sus contraseñas seguras Cómo los administradores de contraseñas mantienen sus contraseñas seguras Las contraseñas que son difíciles de descifrar también son difíciles de recordar. ¿Quieres estar a salvo? Necesitas un administrador de contraseñas. Así es como funcionan y cómo lo mantienen a salvo. es una manera simple de evitar que los piratas informáticos causen estragos en su vida. Estas encriptan contraseñas en una 'bóveda' segura, a la que el usuario puede acceder a través de una contraseña maestra.” Agregó que esto facilita el uso de contraseñas seguras y complejas..

“Hay muchos administradores de contraseñas gratuitos y confiables. Asegúrate de estar usando uno de buena reputación. Muchos de ellos hacen más que simplemente almacenar su contraseña, así que busque las que usen “inyección” para insertar contraseñas en los campos correctos, en lugar de simplemente copiar y pegar desde el portapapeles. Esto te ayuda a evitar ser atacado a través de keyloggers.” - Kevin Shahbazi

Terminando

Kevin, quizás con razón, está perturbado por la leve respuesta de Spotify a cientos de sus cuentas de usuario que se rocían en Pastebin. Queda por ver si esta fuga es única o si es indicativo de que algo más grande está por venir..

Intentamos ponernos en contacto con Spotify para comentar esta historia, pero no pudimos hacerlo. Si recibimos noticias de la compañía, actualizaremos este artículo con su respuesta..

Créditos de imagen: Vdovichenko Denis / Shutterstock.com




Nadie ha comentado sobre este artículo todavía.

YouTube Gaming se pone en marcha, cómo conseguir un trabajo en Google ... [Tech News Digest]
Noticias tecnológicas
PenGate muestra que las personas son tontas, Twitter protege a los políticos ... [Resumen de noticias tecnológicas]
Noticias tecnológicas
Ashley Madison Suicides, Obtén Cortana para Android ... [Resumen de noticias tecnológicas]
Noticias tecnológicas
Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.