Publicité
le dernière fuite Spotify pourrait être le plus étrange encore. Des centaines de comptes ont été éclaboussés sur Pastebin. Ces comptes ont déjà été consultés, et beaucoup ont vu leurs e-mails modifiés. Mais non seulement nous ne savons pas qui est derrière la fuite, Spotify est catégorique: il n'a pas été piraté. Donc quoi vraiment passe?
Pour le savoir, j'ai organisé une conversation avec Kevin Shahbazi, expert en sécurité et PDG d'une société de gestion de mots de passe LogMeOnce. Kevin s'est fait un nom dans l'industrie de la sécurité. Il a lancé plusieurs sociétés Infosec différentes, dont une - Trust Digital, spécialisée dans la sécurité des smartphones au niveau de l'entreprise - était acquis par McAfee en 2010.
L'expertise de Kevin dans le domaine de la sécurité est indéniable, et je voulais savoir ce qu'il a fait de cette dernière violation de données. Au cours d'une vague d'e-mails envoyés un mardi soir, je l'ai grillé sur qui pourrait être à l'origine de la fuite, sur ce qui n'allait pas avec la réponse de Spotify et sur ce que les utilisateurs concernés peuvent faire pour se protéger.
L'anatomie de la fuite
Quand la débâcle d'Ashley Madison sauté comme un cantaloup trop mûr Ashley Madison n'a pas de grosse affaire? Détrompez-vousLe site de rencontres en ligne discret Ashley Madison (destiné principalement aux conjoints tricheurs) a été piraté. Cependant, il s'agit d'un problème beaucoup plus grave que celui décrit dans la presse, avec des implications considérables pour la sécurité des utilisateurs. Lire la suite , il a révélé les secrets sordides de millions de personnes sur le Web noir. Le vidage de données, mesuré en gigaoctets, répertorie tout, des informations biographiques des inscrits du site à leurs préférences sexuelles de niche. Comment la fuite Spotify se compare-t-elle?
"En ce qui concerne la quantité de données qui a été divulguée, il a seulement été mentionné que des" centaines "de comptes non spécifiés ont été compromis. Les informations de compte telles que les détails de paiement et les informations de carte de crédit n'ont pas été incluses dans la fuite, mais les e-mails, les noms d'utilisateur, les mots de passe, le type de compte et les détails de compte supplémentaires l'étaient. " - Kevin Shahbazi
Il n'y a toujours aucune information sur qui était derrière l'attaque, bien qu'elle ait été publiée par un utilisateur du nom de "Drakia12«Sur Pastebin. Kevin est ouvert à la possibilité que le vidage lui-même ne soit pas si nouveau, et provienne plutôt de comptes qui avaient déjà été divulgués sur le Dark Web Journey Into The Hidden Web: Un guide pour les nouveaux chercheursCe manuel vous fera découvrir les nombreux niveaux du Web profond: bases de données et informations disponibles dans les revues universitaires. Enfin, nous arriverons aux portes de Tor. Lire la suite , et entrent maintenant dans une circulation plus large. Les identifiants pour Spotify et d'autres sites de streaming comme Netflix sont disponibles à l'achat sur les parties les plus obscures d'Internet, et selon un rapport McAfee Labs, ces identifiants sont continuellement diffusés par les cybercriminels une fois qu'ils ont été compromis ».
Kevin a également laissé entendre qu'une attaque de «force brute» pourrait être à l'origine de la fuite, disant: «Une autre source possible [de la fuite] est un programme utilisé pour «peigner» les mots de passe ou simplement essayer plusieurs combinaisons de mots de passe jusqu'à ce qu'il trouve le bon une".
Cela semble peu probable, car la plupart des services limitent désormais le nombre de tentatives de connexion infructueuses qu'un utilisateur peut effectuer. Mais ce n’est pas impossible. En 2009, les comptes Twitter de Rick Sanchez, Bill O’Reilly et Britney Spears ont été compromis par des pirateset des messages offensants ont été publiés.
Cette attaque n'était possible que parce qu'à l'époque, Twitter ne limitait pas les tentatives de connexion et qu'un administrateur avait un mot de passe de dictionnaire faible (c'était "bonheur").
Je voulais savoir comment cette fuite se comparait à d'autres fuites de haut niveau, telles que les fuites d'Ashley Madison, PlayStation Network et Mate1. Kevin a déclaré que contrairement à d'autres fuites notables, Spotify ne le "possédait" pas. Ils ne prennent aucune responsabilité. Il n'a pas non plus ajouté qu'ils «ne sont pas proactifs dans la protection des informations de leurs clients». Shahbazi craint également que la fuite ne soit l'ouverture de quelque chose de beaucoup plus grand.
«En publiant un petit échantillon de données, les pirates supposés auraient simplement voulu mettre Spotify en position défensive. Puis, après un court instant, après avoir traité le compte, ils publieront probablement le reste du vidage de données. Si tel est leur objectif, alors plus d'embarras est à venir, et les dirigeants pourraient finir par perdre leurs positions chez Spotify. » - Kevin Shahbazi
Pourquoi Spotify?
Ce qui est peut-être le plus déroutant dans le hack Spotify, c'est qu'il s'agit d'une cible peu probable. Pour un cybercriminel, l'attrait d'un PayPal ou compte bancaire en ligne Les services bancaires en ligne sont-ils sûrs? Surtout, mais voici 5 risques à connaîtreIl y a beaucoup à aimer dans les services bancaires en ligne. C'est pratique, peut vous simplifier la vie, vous pourriez même obtenir de meilleurs taux d'épargne. Mais la banque en ligne est-elle aussi sûre et sécurisée qu'elle devrait l'être? Lire la suite est indéniable. Mais Spotify n'est pas une institution financière. C’est un site de musique. J'ai demandé à Kevin pourquoi un hacker pouvait le viser.
«La valeur de l'attaque de Spotify ou d'autres services similaires varie d'un pirate à l'autre. Dans ce cas, la transparence semble être le motif le plus probable derrière la fuite récente, pour montrer au public que leur les informations ne sont pas nécessairement sécurisées avec la plate-forme et, en fin de compte, gênent la marque. " - Kevin Shahbazi
De nombreuses personnes choisissent de lier leurs comptes Facebook à Spotify. Cela simplifie la connexion et ajoute également une dimension sociale au service. Les utilisateurs peuvent partager leurs morceaux préférés avec leurs amis et obtenir des recommandations.
Cela pourrait-il entraîner une douleur supplémentaire pour les utilisateurs concernés? Potentiellement, a déclaré Kevin. Surtout si l'utilisateur utilise un mot de passe en double.
«Les mots de passe en double (ou la réutilisation d'un seul mot de passe sur différents services) pourraient être un problème potentiel. Étant donné que n'importe qui peut désormais accéder à des centaines de connexions Spotify, cela leur donne la clé de tous les autres comptes et services qui utilisent le mot de passe divulgué. » - Kevin Shahbazi
Réponse de Spotify
Compte tenu de la notoriété de Spotify, il était inévitable que la société finisse par rencontrer une sorte de problème de sécurité. Mais dans ce cas, il a été étonnamment nonchalant sur tout.
"Alors que [dans le passé] ils ont été proactifs dans la réinitialisation des mots de passe des utilisateurs pour les comptes qui semblent être piratés, et ont dit qu'ils analysaient souvent des sites comme Pastebin pour les informations d'identification Spotify, ils ne l'ont pas fait avec le piratage présumé le plus récent, malgré des centaines d'informations d'identification Spotify apparaissant en ligne. " - Kevin Shahbazi
Les clients concernés ont dû contacter activement Spotify pour retrouver l'accès à leurs comptes. Selon les publications sur Twitter et divers articles dans la presse technologique, cela n'a pas été une tâche facile. Malheureusement, ce n'est pas un événement isolé pour Spotify.
«Spotify a nié l'existence de piratages présumés similaires qui auraient eu lieu en novembre 2015 et à nouveau en février dernier. Dans l'ensemble, les déclarations publiques de Spotify contredisent les expériences de leurs clients. " - Kevin Shahbazi
Kevin ne sait pas pourquoi Spotify a été si violemment opaque quant à l'existence (ou non) d'un piratage, ou s'il a été victime d'une erreur de l'utilisateur. Cependant, il s'inquiète du fait que «leur manque de transparence ne fait que nuire à leur marque, à leur réputation et, surtout, à leurs clients».
Que peuvent faire les utilisateurs concernés?
Des centaines d'utilisateurs ont été touchés par la fuite. Il y a une possibilité très réelle que davantage de comptes aient été compromis, mais n'ont pas encore été divulgués. J'ai demandé à Kevin quelles mesures les utilisateurs de Spotify devraient prendre pour se protéger.
«Qu'ils soient piratés ou non, tous les utilisateurs de Spotify doivent connaître leurs comptes. Pour ceux dont les informations ont été compromises, ils doivent immédiatement modifier leurs informations de connexion pour tout comptes qui ont utilisé le même mot de passe, ainsi que de surveiller les comptes financiers qui peuvent être liés à Spotify. Ils doivent également contacter Spotify pour les informer du problème avec leur compte et le réinitialiser. » - Kevin Shahbazi
Kevin a ajouté que ceux qui ont eu la chance de ne pas être inclus dans le vidage des données devraient également prendre des précautions. Il recommande à tous les utilisateurs de réinitialiser leurs mots de passe et, sur tous les appareils sur lesquels Spotify est installé, les utilisateurs se déconnectent, puis se reconnectent. Il a également souligné les dangers de se fier à des mots de passe en double.
«C'est encore un autre cas dans lequel des mots de passe en double reviennent pour nuire à ceux qui recherchent la facilité d'accès à plusieurs comptes. Bien qu'il puisse sembler que les informations de connexion de Spotify ont été piratées et que tous les autres comptes sont sûrs, si un mot de passe en double a été utilisé, il pourrait être utilisé pour se connecter avec succès à d'autres comptes utilisant ces informations, créant un effet domino. " - Kevin Shahbazi
Mieux vaut prévenir que guérir
Il est impossible pour les consommateurs d'empêcher la fuite de leurs données par un service qu'ils utilisent, car ils ne sont pas entre leurs mains. Le service doit avoir de bonnes pratiques de sécurité et une bonne hygiène des mots de passe. Mais que peuvent faire les consommateurs pour limiter leur exposition aux fuites futures? Kevin a souligné à nouveau que les utilisateurs devraient éviter les mots de passe en double et, si possible, utiliser l'authentification à deux facteurs.
"Les lecteurs peuvent également garantir la sécurité de leur mot de passe en utilisant authentification à deux facteurs (2FA) Qu'est-ce que l'authentification à deux facteurs et pourquoi l'utiliser?L'authentification à deux facteurs (2FA) est une méthode de sécurité qui nécessite deux façons différentes de prouver votre identité. Il est couramment utilisé dans la vie quotidienne. Par exemple, payer avec une carte de crédit ne nécessite pas seulement la carte, ... Lire la suite , où en plus d'un mot de passe, les utilisateurs sont tenus de fournir une autre information, comme une empreinte digitale, un code PIN ou une question de sécurité que seuls eux seraient en mesure de fournir. » - Kevin Shahbazi
Sans surprise, Kevin recommande l'utilisation d'un gestionnaire de mots de passe, afin de stocker en toute sécurité des mots de passe complexes. Il a dit "un gestionnaire de mots de passe Comment les gestionnaires de mots de passe protègent vos mots de passeLes mots de passe difficiles à déchiffrer sont également difficiles à retenir. Vous voulez être en sécurité? Vous avez besoin d'un gestionnaire de mots de passe. Voici comment ils fonctionnent et comment ils vous protègent. Lire la suite est un moyen simple d'empêcher les pirates de faire des ravages dans votre vie. Ceux-ci chiffrent les mots de passe dans un «coffre-fort» sécurisé, auquel l’utilisateur peut accéder via un mot de passe principal. » Il a ajouté que ceux-ci facilitent l'utilisation de mots de passe complexes et sécurisés.
«Il existe de nombreux gestionnaires de mots de passe gratuits et fiables. Assurez-vous que vous en utilisez un de bonne réputation. Beaucoup d'entre eux font plus que simplement stocker votre mot de passe, alors recherchez ceux qui utilisent «injection» pour insérer des mots de passe dans les champs corrects, plutôt que de simplement copier et coller à partir du presse-papiers. Cela vous aide à éviter d'être attaqué via des enregistreurs de frappe. » - Kevin Shahbazi
Emballer
Kevin, peut-être à juste titre, est perturbé par la légère réaction de Spotify à des centaines de comptes d'utilisateurs pulvérisés sur Pastebin. Reste à savoir si cette fuite est ponctuelle ou si elle indique quelque chose de plus grand à venir.
Nous avons essayé de contacter Spotify pour commenter cette histoire, mais nous n'avons pas pu le faire. Si nous avons des nouvelles de l'entreprise, nous mettrons à jour cet article avec sa réponse.
Crédits image: Vdovichenko Denis / Shutterstock.com
Matthew Hughes est un développeur de logiciels et écrivain de Liverpool, en Angleterre. Il est rarement trouvé sans une tasse de café noir fort dans sa main et adore absolument son Macbook Pro et son appareil photo. Vous pouvez lire son blog sur http://www.matthewhughes.co.uk et suivez-le sur twitter à @matthewhughes.