La última fuga de Spotify podría ser la más extraña hasta el momento. Cientos de cuentas han salpicado en Pastebin. Ya se ha accedido a estas cuentas, y muchos han cambiado sus correos electrónicos. Pero no solo no sabemos quién está detrás de la fuga, Spotify es inflexible en que no ha sido pirateado. Entonces, ¿qué está pasando realmente ?
Para averiguarlo, organicé una conversación con Kevin Shahbazi, experto en seguridad y director ejecutivo de LogMeOnce, firma de gestión de contraseñas. Kevin se ha forjado un nombre en la industria de la seguridad. Ha lanzado varias compañías de infosec diferentes, de las cuales una, Trust Digital, que se especializa en seguridad para teléfonos inteligentes a nivel empresarial, fue adquirida por McAfee en 2010.
La experiencia de Kevin en el campo de la seguridad es innegable, y quería saber qué hizo con la última violación de datos. Con una ráfaga de correos electrónicos enviados un martes por la noche, lo interrogué sobre quién podría estar detrás de la filtración, qué estaba tan mal con la respuesta de Spotify y qué pueden hacer los usuarios afectados para protegerse.
La anatomía de la fuga
Cuando la debacle de Ashley Madison estalló como un cantalupo demasiado maduro Ashley Madison Leak No Big Deal? Piense de nuevo Ashley Madison Leak No Big Deal? Piensa otra vez El sitio discreto de citas en línea Ashley Madison (dirigido principalmente a los cónyuges infieles) ha sido pirateado. Sin embargo, este es un problema mucho más serio que el que se ha presentado en la prensa, con implicaciones considerables para la seguridad del usuario. Leer más, expuso los secretos sórdidos de millones en la web Oscura. El volcado de datos, que se midió en gigabytes, enumeró todo, desde la información biográfica de los registrantes del sitio, hasta sus preferencias sexuales de nicho. ¿Cómo se compara la fuga de Spotify?
"En cuanto a la cantidad de datos filtrados, solo se mencionó que se han visto comprometidos cientos de cuentas no especificadas. La información de la cuenta, como los detalles de pago y la información de la tarjeta de crédito, no se incluyeron en la filtración, pero sí los correos electrónicos, nombres de usuario, contraseñas, tipo de cuenta y detalles adicionales de la cuenta ". - Kevin Shahbazi
Todavía no hay información sobre quién estuvo detrás del ataque, aunque fue publicado por un usuario con el nombre de ' Drakia12 ' en Pastebin. Kevin está abierto a la posibilidad de que el vertedero en sí no sea tan nuevo, y en su lugar provenía de cuentas que ya se habían filtrado en la web oscura. Viaje a la red oculta: una guía para nuevos investigadores. Viaje a la red oculta: una guía. Para nuevos investigadores Este manual lo llevará a recorrer los diferentes niveles de la web profunda: bases de datos e información disponible en revistas académicas. Finalmente, llegaremos a las puertas de Tor. Lea más, y ahora está ingresando a una circulación más amplia. Los inicios de sesión para Spotify y otros sitios de transmisión como Netflix están disponibles para comprar en las partes más oscuras de Internet, y de acuerdo con un informe de McAfee Labs, estos inicios de sesión son continuamente circulados por ciberdelincuentes una vez que se han visto comprometidos ".
Kevin también insinuó que un ataque de "fuerza bruta" podría estar detrás de la fuga, diciendo, "Otra posible fuente [de la fuga] es un programa utilizado para 'peinar' a través de contraseñas, o simplemente intentar múltiples combinaciones de contraseñas diferentes hasta que encuentre la correcta uno".
Esto parece poco probable, ya que la mayoría de los servicios ahora limitan la cantidad de intentos de inicio de sesión fallidos que un usuario puede hacer. Sin embargo, no es imposible. En 2009, los piratas informáticos pusieron en peligro las cuentas de Twitter de Rick Sanchez, Bill O'Reilly y Britney Spears, y se publicaron mensajes ofensivos.
Este ataque solo fue posible porque, en ese momento, Twitter no limitaba los intentos de inicio de sesión, y un administrador tenía una contraseña de diccionario débil (era "felicidad" ).
Quería saber cómo se produce esta fuga en comparación con otras filtraciones de alto perfil, como las filtraciones de Ashley Madison, PlayStation Network y Mate1. Kevin dijo que a diferencia de otras filtraciones notables, Spotify no lo "posee". No se están tomando la responsabilidad. Tampoco, agregó, están "siendo proactivos en la protección de la información de sus clientes". A Shahbazi también le preocupa que la fuga sea la obertura de algo mucho más grande.
"Al publicar una pequeña muestra de datos, los presuntos hackers podrían haber querido simplemente poner a Spotify en una posición defensiva. Luego, luego de un corto tiempo, después de haber ordeñado la cuenta, es probable que publiquen el resto del volcado de datos. Si ese es su objetivo, entonces habrá más vergüenza, y los ejecutivos podrían terminar perdiendo sus posiciones en Spotify ". - Kevin Shahbazi
¿Por qué Spotify?
Quizás lo más desconcertante sobre el truco de Spotify es que es un objetivo tan poco probable. Para un ciberdelincuente, el atractivo de una cuenta de banca en línea o PayPal comprometida ¿Es seguro para la banca en línea? En su mayoría, pero aquí hay 5 riesgos que debe conocer ¿Es segura la banca en línea? En su mayoría, pero aquí hay 5 riesgos que debe conocer Hay mucho que me gusta de la banca en línea. Es conveniente, puede simplificar su vida, incluso podría obtener mejores tasas de ahorro. Pero, ¿la banca en línea es tan segura como debería ser? Leer más es innegable. Pero Spotify no es una institución financiera. Es un sitio web de música. Le pregunté a Kevin por qué un hacker podría atacarlo.
"El valor de atacar a Spotify u otros servicios similares varía de hacker a hacker. En este caso, la transparencia parece ser el motivo más probable detrás de la fuga reciente, para mostrar al público que su información no es necesariamente segura con la plataforma, y en última instancia, que causa vergüenza a la marca ". - Kevin Shahbazi
Muchas personas eligen vincular sus cuentas de Facebook con Spotify. Esto simplifica el inicio de sesión y también agrega una dimensión social al servicio. Los usuarios pueden compartir sus pistas favoritas con sus amigos y obtener recomendaciones.
¿Podría esto provocar más dolor para los usuarios afectados? Potencialmente, Kevin dijo. Especialmente si el usuario está usando una contraseña duplicada.
"Contraseñas duplicadas (o reutilización de una sola contraseña en diferentes servicios) podría ser un problema potencial. Como cualquiera puede acceder ahora a cientos de inicios de sesión de Spotify, esto les da la clave para cualquier otra cuenta y servicio que use la contraseña filtrada). "- Kevin Shahbazi
La respuesta de Spotify
Dado el alto perfil de Spotify, era inevitable que la compañía eventualmente experimentara algún tipo de problema de seguridad. Pero en este caso, ha sido sorprendentemente despreocupado sobre todo.
"Si bien [en el pasado] han sido proactivos al restablecer las contraseñas de los usuarios para las cuentas que parecen pirateadas y han dicho que a menudo escanean sitios como Pastebin para las credenciales de Spotify, no lo han hecho con el último hack presunto, a pesar cientos de credenciales de Spotify que aparecen en línea. "- Kevin Shahbazi
Los clientes afectados tuvieron que comunicarse activamente con Spotify para recuperar el acceso a sus cuentas. De acuerdo con publicaciones en Twitter y varios artículos en la prensa tecnológica, esta no ha sido una tarea fácil. Lamentablemente, este no es un evento aislado para Spotify.
"Spotify ha negado la existencia de supuestos hackers supuestamente supuestamente ocurridos en noviembre de 2015 y nuevamente el pasado febrero. En general, las declaraciones públicas de Spotify contradicen las experiencias de sus clientes ". - Kevin Shahbazi
Kevin no está seguro de por qué Spotify ha sido tan vehementemente opaco sobre la existencia (o no) de un hack, o si fue víctima de un error del usuario. Sin embargo, le preocupa que "su falta de transparencia solo perjudica su marca, reputación y, sobre todo, a sus clientes".
¿Qué pueden hacer los usuarios afectados?
Literalmente cientos de usuarios se han visto afectados por la fuga. Hay una posibilidad muy real de que haya más cuentas comprometidas, pero que aún no se hayan filtrado. Le pregunté a Kevin qué medidas deben tomar los usuarios de Spotify para protegerse.
"Ya sea pirateado o no, todos los usuarios de Spotify deben conocer sus cuentas. Para aquellos cuya información se ha visto comprometida, deben cambiar inmediatamente su información de inicio de sesión para todas las cuentas que utilizan la misma contraseña, así como controlar cualquier cuenta financiera que pueda estar vinculada a Spotify. También deben ponerse en contacto con Spotify para informarles sobre el problema con su cuenta y para restablecerlo ". Kevin Shahbazi
Kevin agregó que aquellos que tuvieron la suerte de no ser incluidos en el vertedero de datos también deben tomar precauciones. Recomienda que todos los usuarios restablezcan sus contraseñas, y en todos los dispositivos donde esté instalado Spotify, los usuarios se desconecten y vuelvan a conectarse. También hizo hincapié en los peligros de confiar en contraseñas duplicadas.
"Este es otro caso en el que las contraseñas duplicadas vuelven a dañar a aquellos que buscan facilidad de acceso a múltiples cuentas. Si bien puede parecer que la información de inicio de sesión de Spotify fue pirateada y todas las otras cuentas son seguras, si se usó una contraseña duplicada, podría usarse para iniciar sesión exitosamente en otras cuentas utilizando esa información, creando un efecto dominó. "- Kevin Shahbazi
La prevención es mejor que la cura
Es imposible para los consumidores evitar que sus datos sean filtrados por un servicio que utilizan, ya que no está en sus manos. El servicio debe tener buenas prácticas de seguridad y una buena seguridad de contraseñas. Pero, ¿qué pueden hacer los consumidores para limitar su exposición a futuras fugas? Kevin volvió a enfatizar que los usuarios deben evitar las contraseñas duplicadas y, cuando sea posible, usar la autenticación de dos factores.
"Otra forma en que los lectores pueden garantizar la seguridad de sus contraseñas es mediante la autenticación de dos factores (2FA) ¿Qué es la autenticación de dos factores? ¿Por qué debería usarla? ¿Qué es la autenticación de dos factores ?, ¿Por qué debería usarla? La autenticación de factor (2FA) es un método de seguridad que requiere dos formas diferentes de probar su identidad. Se usa comúnmente en la vida cotidiana. Por ejemplo, pagar con una tarjeta de crédito no solo requiere la tarjeta ... Leer más, donde además de una contraseña, los usuarios deben proporcionar otra información, como una huella digital, PIN o pregunta de seguridad, que solo ellos sería capaz de proporcionar. "- Kevin Shahbazi
Como era de esperar, Kevin recomienda el uso de un administrador de contraseñas para almacenar contraseñas complejas de manera segura. Dijo "un administrador de contraseñas Cómo los administradores de contraseñas mantienen sus contraseñas seguras Cómo los administradores de contraseñas mantienen sus contraseñas seguras Las contraseñas que son difíciles de descifrar también son difíciles de recordar. ¿Quieres estar seguro? Necesitas un administrador de contraseñas Así es como funcionan y cómo te mantienen a salvo. Leer más es una forma sencilla de evitar que los hackers causen estragos en su vida. Estas encriptan las contraseñas en una 'bóveda' segura, a la que el usuario puede acceder a través de una contraseña maestra ". Añadió que esto facilita el uso de contraseñas seguras y complejas.
"Hay muchos administradores de contraseñas gratuitos y confiables. Asegúrate de estar usando una de buena reputación. Muchos de ellos hacen más que simplemente almacenar su contraseña, así que busque los que usan "inyección" para insertar contraseñas en los campos correctos, en lugar de simplemente copiar y pegar desde el portapapeles. Esto te ayuda a evitar ser atacado mediante keyloggers. "- Kevin Shahbazi
Terminando
Kevin, quizás con razón, está perturbado por la leve respuesta de Spotify a cientos de sus cuentas de usuario rociadas en Pastebin. Queda por ver si esta fuga es única o si es indicativa de algo más grande por venir.
Intentamos ponernos en contacto con Spotify para comentar esta historia, pero no pudimos hacerlo. Si recibimos noticias de la compañía, actualizaremos este artículo con su respuesta.
Créditos de las imágenes: Vdovichenko Denis / Shutterstock.com