Page d'accueil Sécurité Comment Spotify a été piqué et pourquoi vous devriez vous en soucier

Comment Spotify a été piqué et pourquoi vous devriez vous en soucier

  • Owen Little
  • 0
  • 4789
  • 1235
Publicité

La dernière fuite Spotify pourrait être la plus étrange à ce jour. Des centaines de comptes ont été éclaboussés sur Pastebin. Ces comptes ont déjà été consultés et beaucoup ont vu leurs courriels modifiés. Mais non seulement nous ne savons pas qui est derrière la fuite, mais Spotify est catégorique: il n’a pas été piraté. Donc quoi vraiment passe?

Pour le savoir, j'ai organisé une conversation avec Kevin Shahbazi, expert en sécurité et PDG de la société de gestion de mots de passe LogMeOnce. Kevin s'est construit un nom dans l'industrie de la sécurité. Il a lancé plusieurs sociétés d’information, dont l’une, Trust Digital, spécialisée dans la sécurité des smartphones pour les entreprises, a été racheté par McAfee en 2010..

L'expertise de Kevin dans le domaine de la sécurité est indéniable et je voulais savoir ce qu'il avait fait de cette dernière violation de données. Après une série de courriels envoyés un mardi soir, je lui ai expliqué qui pourrait être à l'origine de la fuite, ce qui n'allait pas avec la réponse de Spotify et ce que les utilisateurs affectés pouvaient faire pour se protéger.

L'anatomie de la fuite

Quand la débâcle d'Ashley Madison a éclaté comme un cantaloup trop mûr, Ashley Madison Leak No Big Deal? Pensez à nouveau Ashley Madison Leak No Big Deal? Think Again Le site de rencontres en ligne discret Ashley Madison (principalement destiné aux conjoints trompeurs) a été piraté. Cependant, il s'agit d'un problème beaucoup plus grave que celui décrit dans la presse, qui a des conséquences considérables pour la sécurité des utilisateurs. , il a exposé les secrets sordides de millions de personnes sur le Web sombre. Le dump de données, mesuré en gigaoctets, répertorie tout, des informations biographiques des déclarants du site à leurs préférences sexuelles de niche. Comment se compare la fuite Spotify??

“En ce qui concerne le volume de données divulguées, il a seulement été mentionné qu'un «centaines» de comptes non spécifiés avaient été compromis. Les informations de compte telles que les détails de paiement et les informations de carte de crédit ne sont pas incluses dans la fuite, mais les e-mails, noms d'utilisateur, mots de passe, type de compte et informations de compte supplémentaires ont été omis..” - Kevin Shahbazi

Il n'y a toujours aucune information sur l'auteur de l'attaque, bien qu'elle ait été publiée par un utilisateur du nom de "Drakia12sur Pastebin. Kevin est ouvert à la possibilité que le vidage lui-même ne soit pas si nouveau et provienne plutôt de comptes qui ont déjà été divulgués sur Dark Web. Un voyage dans le Web caché: guide des nouveaux chercheurs. Un voyage dans le Web caché: Un guide Pour les nouveaux chercheurs Ce manuel vous guidera à travers les nombreux niveaux du Web profond: bases de données et informations disponibles dans des revues spécialisées. Enfin, nous arriverons aux portes de Tor. et entrent maintenant dans une circulation plus large. Les connexions pour Spotify et d'autres sites de streaming tels que Netflix sont disponibles à l'achat sur les parties les plus obscures d'Internet. Selon un rapport de McAfee Labs, ces cybercriminels circulent continuellement une fois qu'ils ont été compromis.”.

Kevin a également laissé entendre qu'un “Force brute” attaque pourrait être derrière la fuite, en disant, “Une autre source possible [de la fuite] est un programme utilisé pour "combiner" les mots de passe, ou simplement essayer plusieurs combinaisons de mots de passe différentes jusqu'à ce qu'il trouve le bon”.

Cela semble peu probable, car la plupart des services limitent désormais le nombre de tentatives de connexion infructueuses qu'un utilisateur peut effectuer. Cependant, ce n'est pas impossible. En 2009, les comptes Twitter de Rick Sanchez, Bill O'Reilly et Britney Spears ont été compromis par des pirates informatiques et des messages offensants ont été postés..

Cette attaque n’était possible que parce que, à l’époque, Twitter ne limitait pas les tentatives de connexion et qu’un administrateur avait un mot de passe de dictionnaire faible (c’était “bonheur”).

Je voulais savoir comment cette fuite se comparait à d'autres fuites très médiatisées, telles que les fuites Ashley Madison, PlayStation Network et Mate1. Kevin a déclaré que, contrairement à d’autres fuites notables, Spotify n’était pas “posséder” il. Ils ne prennent pas de responsabilité. Et ils n'ont pas non plus “être proactif dans la protection des informations de leurs clients”. Shahbazi craint également que la fuite ne soit l’ouverture de quelque chose de beaucoup plus grand.

“En publiant un petit échantillon de données, des pirates présumés auraient peut-être simplement voulu placer Spotify dans une position défensive. Ensuite, après avoir traité le compte, ils publieront probablement le reste du vidage de données. Si tel est leur objectif, la situation sera plus embarrassante et les cadres pourraient perdre leur poste chez Spotify..” - Kevin Shahbazi

Pourquoi Spotify?

Ce qui est peut-être le plus troublant à propos du piratage Spotify, c’est que c’est une cible aussi improbable. Pour un cybercriminel, l'attrait d'un compte PayPal ou d'un compte bancaire en ligne compromis Est-ce que Online Banking Safe? La plupart du temps, mais voici 5 risques que vous devez savoir sur La banque en ligne est-elle sûre? La plupart du temps, mais voici 5 risques que vous devriez connaître Il y a beaucoup à aimer sur les services bancaires en ligne. C'est pratique, cela peut vous simplifier la vie, vous pourriez même obtenir de meilleurs taux d'épargne. Mais la banque en ligne est-elle aussi sûre et sécurisée qu'elle devrait l'être? est indéniable. Mais Spotify n'est pas une institution financière. C'est un site de musique. J'ai demandé à Kevin pourquoi un pirate informatique pourrait le cibler.

“Le fait d’attaquer Spotify, ou d’autres services similaires, varie d’un pirate à l’autre. Dans ce cas, la transparence semble être le motif le plus probable de la récente fuite: montrer au public que leurs informations ne sont pas nécessairement sécurisées avec la plate-forme et, en fin de compte, gêner la marque..” - Kevin Shahbazi

De nombreuses personnes choisissent de lier leurs comptes Facebook à Spotify. Cela simplifie la connexion et ajoute également une dimension sociale au service. Les utilisateurs peuvent partager leurs morceaux préférés avec leurs amis et obtenir des recommandations..

Est-ce que cela pourrait entraîner une douleur supplémentaire pour les utilisateurs affectés? Potentiellement, dit Kevin. Surtout si l'utilisateur utilise un mot de passe en double.

“Les mots de passe en double (ou la réutilisation d'un mot de passe unique sur différents services) peuvent être un problème potentiel. Étant donné que tout le monde peut désormais accéder à des centaines de connexions Spotify, cela leur donne la clé de tous les comptes et services utilisant le mot de passe divulgué..” - Kevin Shahbazi

La réponse de Spotify

Compte tenu de la notoriété de Spotify, il était inévitable que la société connaisse éventuellement un problème de sécurité. Mais dans ce cas, il a été étonnamment nonchalant pour tout.

“Bien que [dans le passé] ils aient été proactifs en réinitialisant les mots de passe des utilisateurs pour les comptes qui semblent être piratés, et ont dit qu'ils analysaient souvent des sites comme Pastebin pour Spotify, ils ne l'avaient pas fait avec le dernier piratage présumé, malgré des centaines des informations d'identification Spotify apparaissant en ligne.” - Kevin Shahbazi

Les clients concernés ont dû s’adresser activement à Spotify pour retrouver l’accès à leurs comptes. Selon les publications sur Twitter et divers articles de la presse spécialisée, cela n’a pas été une tâche facile. Malheureusement, ce n'est pas un événement isolé pour Spotify.

“Spotify a nié l'existence de prétendus piratages similaires qui auraient eu lieu en novembre 2015 et à nouveau en février dernier. Dans l’ensemble, les déclarations publiques de Spotify contredisent les expériences de leurs clients.” - Kevin Shahbazi

Kevin ne sait pas vraiment pourquoi Spotify a été si opaque à propos de l'existence (ou non) d'un piratage, ou s'il a été victime d'une erreur de l'utilisateur. Cependant, il craint que “leur manque de transparence ne fait que nuire à leur marque, à leur réputation et surtout à leurs clients”.

Que peuvent faire les utilisateurs concernés??

Des centaines d'utilisateurs ont été touchés par les fuites. Il est fort possible que davantage de comptes aient été compromis, mais que tout ne soit pas encore divulgué. J'ai demandé à Kevin quelles mesures les utilisateurs de Spotify devraient prendre pour se protéger.

“Que ce soit piraté ou non, tous les utilisateurs de Spotify doivent être au courant de leurs comptes. Pour ceux dont les informations ont été compromises, ils doivent immédiatement modifier leurs informations de connexion pour tous les comptes utilisant le même mot de passe, ainsi que pour surveiller tous les comptes financiers pouvant être liés à Spotify. Ils doivent également contacter Spotify pour les informer du problème lié à leur compte et pour le réinitialiser..” - Kevin Shahbazi

Kevin a ajouté que ceux qui ont eu la chance de ne pas être inclus dans le vidage de données devraient également prendre des précautions. Il recommande à tous les utilisateurs de réinitialiser leurs mots de passe et, sur tous les appareils sur lesquels Spotify est installé, de se déconnecter puis de se reconnecter. Il a également souligné les dangers liés à l'utilisation de mots de passe en double..

“C’est un autre cas dans lequel des mots de passe en double reviennent à ceux qui recherchent la facilité d’accès à plusieurs comptes. Même s'il peut sembler que les informations de connexion de Spotify aient été piratées et que tous les autres comptes soient sécurisés, si un mot de passe dupliqué était utilisé, il pourrait être utilisé pour vous connecter à d'autres comptes utilisant ces informations, créant ainsi un effet domino..” - Kevin Shahbazi

Mieux vaut prévenir que guérir

Il est impossible pour les consommateurs d'empêcher que leurs données ne soient divulguées par un service qu'ils utilisent, car ce n'est pas entre leurs mains. Le service doit avoir de bonnes pratiques de sécurité et une bonne hygiène de mot de passe. Mais que peuvent faire les consommateurs pour limiter leur exposition aux fuites futures? Kevin a de nouveau souligné que les utilisateurs devaient éviter les mots de passe en double et, dans la mesure du possible, utiliser une authentification à deux facteurs..

“Les lecteurs peuvent également garantir la sécurité de leurs mots de passe en utilisant une authentification à deux facteurs (2FA), ce qui constitue une authentification à deux facteurs, et pourquoi vous devez l’utiliser, une authentification à deux facteurs, et pourquoi vous devez l’utiliser à deux facteurs. L’authentification (2FA) est une méthode de sécurité qui requiert deux manières différentes de prouver votre identité. Il est couramment utilisé dans la vie quotidienne. Par exemple, payer avec une carte de crédit ne nécessite pas seulement la carte,… où, outre un mot de passe, les utilisateurs doivent fournir une autre information, telle qu'une empreinte digitale, un code PIN ou une question de sécurité, qu'ils seraient seuls en mesure de fournir.” - Kevin Shahbazi

Sans surprise, Kevin recommande l'utilisation d'un gestionnaire de mots de passe, afin de stocker en toute sécurité des mots de passe complexes. Il a dit “un gestionnaire de mots de passe Comment les gestionnaires de mots de passe protègent vos mots de passe en toute sécurité Comment les gestionnaires de mots de passe conservent vos mots de passe en toute sécurité Les mots de passe difficiles à déchiffrer sont également difficiles à retenir. Voulez-vous être en sécurité? Vous avez besoin d'un gestionnaire de mot de passe. Voici comment ils fonctionnent et comment ils vous protègent. est un moyen simple d’empêcher les pirates de faire des ravages dans votre vie. Ces mots de passe cryptés dans un «coffre-fort» sécurisé, auquel l'utilisateur peut accéder via un mot de passe principal.” Il a ajouté que cela facilite l'utilisation de mots de passe complexes et sécurisés.

“Il existe de nombreux gestionnaires de mots de passe gratuits et fiables. Assurez-vous que vous en utilisez un de bonne réputation. Beaucoup d’entre eux font plus que simplement stocker votre mot de passe, alors cherchez ceux qui utilisent “injection” pour insérer des mots de passe dans les champs appropriés, plutôt que de simplement copier et coller à partir du Presse-papiers. Cela vous aide à éviter d'être attaqué via des enregistreurs de frappe.” - Kevin Shahbazi

Emballer

Kevin, peut-être à juste titre, est perturbé par la réponse modérée de Spotify à des centaines de comptes d'utilisateurs vaporisés sur Pastebin. Reste à savoir si cette fuite est ponctuelle ou si elle laisse entrevoir quelque chose de plus important..

Nous avons essayé de contacter Spotify pour commenter cette histoire, mais sans succès. Si la société nous répond, nous mettrons à jour cet article avec sa réponse..

Crédits d'image: Vdovichenko Denis / Shutterstock.com




Personne n'a encore commenté ce post.

Vous pouvez maintenant envoyer des photos 4K à l'aide de Facebook Messenger
Nouvelles techniques
Vous pouvez maintenant jouer à Animal Crossing sur Android et iOS
Nouvelles techniques
Google corrige encore un autre bug de Pixel 2
Nouvelles techniques
De la technologie moderne, simple et abordable.
Votre guide dans le monde de la technologie moderne. Apprenez à utiliser les technologies et les gadgets qui nous entourent chaque jour et à découvrir des choses intéressantes sur Internet.