الإعلانات

ال أحدث تسريب Spotify قد يكون أغرب واحد حتى الآن. تم صرف مئات الحسابات على Pastebin. تم الوصول إلى هذه الحسابات بالفعل ، مع تغيير العديد من رسائل البريد الإلكتروني الخاصة بهم. ولكن ليس فقط أننا لا نعرف من يقف وراء التسرب ، يصر Spotify على أنه لم يتم اختراقه. اذا، ماذا هل حقا يحدث؟

لمعرفة ذلك ، رتبت محادثة مع كيفين شهبازي ، خبير الأمان والمدير التنفيذي لشركة إدارة كلمات المرور LogMeOnce. لقد بنى كيفن نفسه اسماً في صناعة الأمن. أطلق العديد من شركات المعلومات المختلفة ، منها واحدة - Trust Digital ، المتخصصة في أمن الهواتف الذكية على مستوى المؤسسة - استحوذت عليه شركة مكافي في عام 2010.

خبرة Kevin في مجال الأمان لا يمكن إنكارها ، وأردت معرفة ما صنعه من أحدث خرق للبيانات. خلال سلسلة من رسائل البريد الإلكتروني التي تم إرسالها مساء الثلاثاء ، قمت بشويته على من يقف وراء التسرب ، وما هو الخطأ في استجابة Spotify ، وما الذي يمكن للمستخدمين المتأثرين القيام به لحماية أنفسهم.

تشريح التسرب

عندما كارثة آشلي ماديسون برزت كالكنتالوب الناضج اشلي ماديسون تسرب لا صفقة كبيرة؟ فكر مرة اخرىتم اختراق موقع المواعدة السري على الإنترنت Ashley Madison (الذي يستهدف في المقام الأول أزواج الغش). ومع ذلك ، فهذه مشكلة أخطر بكثير مما تم تصويره في الصحافة ، مع آثار كبيرة على سلامة المستخدم.

instagram viewer
اقرأ أكثر ، كشف عن أسرار الملايين الدنيئة على الويب المظلم. أدرج تفريغ البيانات ، الذي تم قياسه بالغيغابايت ، كل شيء من معلومات السيرة الذاتية للمسجلين في الموقع ، حتى تفضيلاتهم الجنسية المتخصصة. كيف يقارن تسرب Spotify؟

"فيما يتعلق بكمية البيانات التي تم تسريبها ، لم يكن هناك سوى ذكر أنه تم اختراق" مئات "الحسابات غير المحددة. لم يتم تضمين معلومات الحساب مثل تفاصيل الدفع ومعلومات بطاقة الائتمان في التسرب ، ولكن رسائل البريد الإلكتروني وأسماء المستخدمين وكلمات المرور ونوع الحساب وتفاصيل الحساب الإضافية كانت كذلك. " - كيفين شهبازي

لا توجد حتى الآن معلومات عن الجهة التي تقف وراء الهجوم ، على الرغم من أنه تم نشره بواسطة مستخدم باسم "دراقية 12على Pastebin. كيفن منفتح على احتمال أن المكب نفسه قد لا يكون جديدًا تمامًا ، وبدلاً من ذلك جاء من حسابات تم تسريبها بالفعل الويب المظلم رحلة إلى الويب المخفي: دليل للباحثين الجددسيأخذك هذا الدليل في جولة عبر العديد من مستويات الويب العميق: قواعد البيانات والمعلومات المتاحة في المجلات الأكاديمية. أخيرًا ، سنصل إلى أبواب Tor. اقرأ أكثر ، وتدخل الآن تداول أوسع. تتوفر تسجيلات الدخول إلى Spotify ، ومواقع البث الأخرى مثل Netflix ، للشراء على الأجزاء الأكثر قتامة من الإنترنت ، ووفقًا لـ تقرير مكافي لابز، يعمد مجرمو الإنترنت إلى تعميم عمليات تسجيل الدخول هذه بمجرد اختراقها ".

كما ألمح كيفن إلى أن هجوم "القوة الغاشمة" قد يكون وراء التسرب ، قائلاً ، "مصدر محتمل آخر [للتسريب] هو البرنامج المستخدم في "التمشيط" من خلال كلمات المرور ، أو مجرد محاولة تركيبات متعددة من كلمات المرور المختلفة حتى يجدها صحيحة واحد ".

يبدو هذا غير مرجح ، لأن معظم الخدمات تحد الآن من محاولات تسجيل الدخول الفاشلة التي يمكن للمستخدم القيام بها. ومع ذلك ، ليس مستحيلاً. في عام 2009 ، حسابات Twitter لـ Rick Sanchez و Bill O’Reilly و Britney Spears تم اختراقها من قبل المتسللين، وتم نشر رسائل مسيئة.

سانشيزويتير

كان هذا الهجوم ممكنًا فقط ، لأنه في ذلك الوقت ، لم يحد Twitter من محاولات تسجيل الدخول ، وكان أحد المسؤولين لديه كلمة مرور ضعيفة في القاموس (كانت "السعادة").

أردت أن أعرف كيف أن هذا التسرب مقارنة بالتسريبات الأخرى البارزة ، مثل تسريبات Ashley Madison و PlayStation Network و Mate1. قال كيفن إنه على عكس التسريبات الأخرى البارزة الأخرى ، فإن Spotify لا "تمتلكه". إنهم لا يتحملون المسؤولية. وأضاف أنهما ليستا "استباقيا في حماية معلومات عملائهم". كما يخشى شهبازي من أن التسرب قد يكون نتيجة لشيء أكبر بكثير.

"من خلال نشر عينة صغيرة من البيانات ، ربما أراد المخترقون المزعومون وضع Spotify في وضع دفاعي. ثم بعد فترة قصيرة ، بعد أن قاموا بحلب الحساب ، من المحتمل أن ينشروا بقية تفريغ البيانات. إذا كان هذا هو هدفهم ، فإن المزيد من الإحراج سيأتي ، وقد ينتهي الأمر بالتنفيذيين إلى فقدان مواقعهم في Spotify ". - كيفين شهبازي

لماذا Spotify؟

ولعل أكثر ما يثير الحيرة حول اختراق Spotify هو أنه هدف غير محتمل. إلى المجرم الإلكتروني ، جاذبية باي بال للخطر أو حساب مصرفي عبر الإنترنت هل الخدمات المصرفية عبر الإنترنت آمنة؟ في الغالب ، ولكن هنا 5 مخاطر يجب أن تعرفهاهناك الكثير مما يعجبه في الخدمات المصرفية عبر الإنترنت. إنه مريح ، يمكن أن يبسط حياتك ، وقد تحصل على معدلات توفير أفضل. ولكن هل الخدمات المصرفية عبر الإنترنت آمنة ومأمونة كما ينبغي أن تكون؟ اقرأ أكثر لا يمكن إنكاره. لكن Spotify ليست مؤسسة مالية. إنه موقع موسيقى. سألت كيفين لماذا قد يستهدفها مخترق.

"تختلف قيمة مهاجمة Spotify ، أو أي خدمات أخرى مماثلة ، من مخترق إلى آخر. في هذه الحالة ، يبدو أن الشفافية هي الدافع الأكثر احتمالا وراء التسريب الأخير ، لتظهر للجمهور أن لديهم المعلومات ليست بالضرورة آمنة مع النظام الأساسي ، وفي النهاية ، تسبب الحرج للعلامة التجارية ". - كيفين شهبازي

يختار العديد من الأشخاص ربط حساباتهم على Facebook مع Spotify. يؤدي ذلك إلى تبسيط تسجيل الدخول وإضافة بُعد اجتماعي إلى الخدمة. يمكن للمستخدمين مشاركة مساراتهم المفضلة مع أصدقائهم والحصول على توصيات.

الملف الشخصي

هل يمكن أن يؤدي هذا إلى مزيد من الألم للمستخدمين المتأثرين؟ وقال كيفين المحتملة. خاصة إذا كان المستخدم يستخدم كلمة مرور مكررة.

"قد تكون كلمات المرور المكررة (أو إعادة استخدام كلمة مرور واحدة عبر خدمات مختلفة) مشكلة محتملة. نظرًا لأن أي شخص يمكنه الآن الوصول إلى مئات تسجيلات الدخول إلى Spotify ، فإن هذا يمنحه المفتاح لأي حسابات وخدمات أخرى تستخدم كلمة المرور المسربة). " - كيفين شهبازي

رد Spotify

بالنظر إلى مكانة Spotify البارزة ، كان من المحتم أن تواجه الشركة في نهاية المطاف نوعًا من المشاكل الأمنية. ولكن في هذه الحالة ، كان من المستغرب بشكل مفاجئ كل شيء.

"في حين أنهم [في الماضي] كانوا سباقين في إعادة تعيين كلمات مرور المستخدمين للحسابات التي يبدو أنها تم اختراقها ، وقالوا أنهم غالبًا ما يفحصون مواقع مثل Pastebin for Spotify اعتمادات ، لم يفعلوا ذلك مع أحدث اختراق مزعوم ، على الرغم من ظهور مئات من بيانات اعتماد Spotify على الإنترنت ". - كيفين شهبازي

كان على العملاء المتأثرين التواصل بنشاط مع Spotify لاستعادة الوصول إلى حساباتهم. وفقًا للنشر على Twitter ، ومقالات مختلفة في الصحافة التكنولوجية ، لم تكن هذه مهمة سهلة. للأسف ، هذا ليس حدثًا منعزلاً لـ Spotify.

"أنكرت Spotify وجود عمليات اختراق مماثلة مزعومة حدثت على ما يبدو في نوفمبر 2015 ومرة ​​أخرى في فبراير الماضي. بشكل عام ، تتعارض بيانات Spotify العامة مع تجارب عملائها ". - كيفين شهبازي

كيفن ليس متأكدًا من سبب عدم وضوح Spotify بشدة بشأن وجود (أو خلاف ذلك) اختراق ، أو ما إذا كان ضحية لخطأ مستخدم. ومع ذلك ، فهو قلق من أن "افتقارهم للشفافية يضر فقط بعلامتهم التجارية وسمعتهم ، والأهم من ذلك كله ، بعملائهم".

ما الذي يمكن أن يفعله المستخدمون المتأثرون؟

حرفيا تأثر مئات المستخدمين من التسرب. هناك احتمال حقيقي للغاية بأن المزيد من الحسابات تم اختراقها ، ولكن لم يتم تسريبها بعد. سألت كيفن ما هي الإجراءات التي يجب على مستخدمي Spotify اتخاذها لحماية أنفسهم.

"سواء تم اختراقه أم لا ، يجب أن يكون جميع مستخدمي Spotify على دراية بحساباتهم. بالنسبة لأولئك الذين تم اختراق معلوماتهم ، يجب عليهم تغيير معلومات تسجيل الدخول الخاصة بهم فورًا الحسابات التي تستخدم نفس كلمة المرور ، بالإضافة إلى مراقبة أي حسابات مالية قد تكون مرتبطة بها سبوتيفي. يحتاجون أيضًا إلى الاتصال بـ Spotify لإعلامهم بالمشكلة في حسابهم وكذلك لإعادة تعيينها ". - كيفين شهبازي

حسابات مسربة

وأضاف كيفين أن أولئك الذين كانوا محظوظين بما يكفي لعدم إدراجهم في تفريغ البيانات يجب أن يتخذوا الاحتياطات أيضًا. ويوصي جميع المستخدمين بإعادة تعيين كلمات المرور الخاصة بهم ، وعلى جميع الأجهزة التي تم تثبيت Spotify فيها ، يقوم المستخدمون بتسجيل الخروج ، ثم تسجيل الدخول مرة أخرى. وشدد أيضا على مخاطر الاعتماد على كلمات المرور المكررة.

"هذه حالة أخرى تعود فيها كلمات المرور المكررة لإيذاء أولئك الذين يبحثون عن سهولة الوصول إلى حسابات متعددة. في حين أنه قد يبدو وكأن معلومات تسجيل الدخول إلى Spotify قد تم اختراقها وجميع الحسابات الأخرى آمنة ، إذا كانت كلمة مرور مكررة المستخدمة ، يمكن استخدامها لتسجيل الدخول بنجاح إلى حسابات أخرى باستخدام هذه المعلومات ، وإنشاء تأثير الدومينو. " - كيفين شهبازي

الوقاية خير من العلاج

من المستحيل على المستهلكين منع تسرب بياناتهم بواسطة خدمة يستخدمونها ، لأنها ليست في أيديهم. يجب أن يكون لدى الخدمة ممارسات أمنية جيدة ، ونظافة جيدة لكلمة المرور. ولكن ما الذي يمكن للمستهلكين فعله للحد من تعرضهم للتسرب في المستقبل؟ أعاد كيفن التأكيد على أنه يجب على المستخدمين تجنب تكرار كلمات المرور ، واستخدام المصادقة ذات العاملين حيثما أمكن.

"الطريقة الأخرى التي يمكن للقراء من خلالها ضمان أمان كلمة المرور الخاصة بهم قوية هي الاستفادة المصادقة الثنائية (2FA) ما هي المصادقة ذات العاملين ، ولماذا يجب عليك استخدامهاالمصادقة الثنائية (2FA) هي طريقة أمان تتطلب طريقتين مختلفتين لإثبات هويتك. يستخدم عادة في الحياة اليومية. على سبيل المثال ، الدفع ببطاقة ائتمان لا يتطلب فقط البطاقة ، ... اقرأ أكثر ، حيث بالإضافة إلى كلمة المرور ، يُطلب من المستخدمين تقديم جزء آخر من المعلومات ، مثل بصمة أو رقم تعريف شخصي أو سؤال أمان ، لن يتمكنوا سوى من توفيره. " - كيفين شهبازي

بشكل غير مفاجئ ، يوصي كيفن باستخدام مدير كلمات المرور ، من أجل تخزين كلمات المرور المعقدة بشكل آمن. هو قال "مدير كلمات المرور كيف يحافظ مديرو كلمات المرور على كلمات المرور الخاصة بك آمنةمن الصعب أيضًا تذكر كلمات المرور التي يصعب اختراقها. تريد أن تكون بأمان؟ أنت بحاجة إلى مدير كلمات المرور. إليك كيفية عملها وكيف تحافظ على سلامتك. اقرأ أكثر هي طريقة بسيطة لمنع المتسللين من إلحاق الدمار في حياتك. تشفير كلمات المرور هذه في "قبو" آمن ، يمكن للمستخدم الوصول إليه من خلال كلمة مرور رئيسية واحدة. " وأضاف أن هذه تسهل استخدام كلمات مرور آمنة ومعقدة.

"هناك العديد من مديري كلمات المرور مجانًا وموثوقين. تأكد من أنك تستخدم واحدة ذات سمعة جيدة. يقوم العديد منهم بأكثر من مجرد تخزين كلمة المرور الخاصة بك ، لذا ابحث عن تلك التي تستخدم "الحقن" لإدخال كلمات المرور في الحقول الصحيحة ، بدلاً من مجرد النسخ واللصق من الحافظة. هذا يساعدك على تجنب التعرض للهجوم عبر keyloggers ". - كيفين شهبازي

تغليف

كيفن ، ربما يكون محقًا في ذلك ، منزعجًا من الاستجابة الخفيفة من Spotify لمئات حسابات المستخدمين التي يتم رشها على Pastebin. سواء كان هذا التسرب لمرة واحدة أو إذا كان يشير إلى شيء أكبر قادم ، فلا يزال يتعين رؤيته.

حاولنا الاتصال بـ Spotify للتعليق على هذه القصة ، لكننا لم نتمكن من القيام بذلك. إذا تلقينا ردًا من الشركة ، فسنحدث هذه المقالة بردها.

ائتمانات الصورة: فدوفيتشينكو دينيس / Shutterstock.com

ماثيو هيوز مطور برامج وكاتب من ليفربول بإنجلترا. نادرًا ما يتم العثور عليه بدون كوب من القهوة السوداء القوية في يده ويعشق جهاز Macbook Pro والكاميرا الخاصة به. يمكنك قراءة مدونته على http://www.matthewhughes.co.uk ومتابعته على تويتر علىmatthewhughes.