Cómo se picó Spotify y por qué debería importarle
La última fuga de Spotify podría ser la más extraña todavía. Cientos de cuentas se han salpicado en Pastebin. Ya se ha accedido a estas cuentas, y muchas han cambiado sus correos electrónicos. Pero no solo no sabemos quién está detrás de la filtración, Spotify está convencido de que no ha sido hackeado. Entonces, que es De Verdad pasando?
Para averiguarlo, organicé una conversación con Kevin Shahbazi, experto en seguridad y CEO de la firma de gestión de contraseñas LogMeOnce. Kevin se ha hecho un nombre en la industria de la seguridad. Él ha lanzado varias empresas de seguridad informática diferentes, de las cuales, una de ellas, Trust Digital, que se especializa en seguridad de teléfonos inteligentes a nivel empresarial, fue adquirida por McAfee en 2010..
La experiencia de Kevin en el campo de la seguridad es innegable, y quería averiguar qué hizo con esta última violación de datos. Después de una ola de correos electrónicos que se enviaron un martes por la noche, le pregunté quién podría estar detrás de la filtración, qué estaba tan mal con la respuesta de Spotify y qué pueden hacer los usuarios afectados para protegerse..
La anatomía de la fuga
Cuando la debacle de Ashley Madison surgió como un melón demasiado maduro, Ashley Madison, ¿No hay problema? Piense otra vez Ashley Madison fuga No es gran cosa? Think Again El sitio de citas en línea discreto Ashley Madison (dirigido principalmente a los cónyuges infieles) ha sido hackeado. Sin embargo, este es un problema mucho más serio que el que se ha descrito en la prensa, con implicaciones considerables para la seguridad del usuario. Leer más, expuso los sórdidos secretos de millones en la web oscura. El volcado de datos, que se midió en los gigabytes, incluía todo, desde la información biográfica de los solicitantes de registro del sitio, hasta sus preferencias sexuales de nicho. ¿Cómo se compara la fuga de Spotify??
“En cuanto a la cantidad de datos filtrados, solo se ha mencionado que se han comprometido "cientos" de cuentas no especificadas. La información de la cuenta, como los detalles de pago y la información de la tarjeta de crédito, no se incluyeron en la filtración, pero los correos electrónicos, nombres de usuario, contraseñas, tipo de cuenta y detalles adicionales de la cuenta.” - Kevin Shahbazi
Todavía no hay información sobre quién estaba detrás del ataque, aunque fue publicado por un usuario con el nombre de 'Drakia12'en Pastebin. Kevin está abierto a la posibilidad de que el volcado en sí no sea tan nuevo, y en su lugar provino de cuentas que ya se habían filtrado en el Viaje de la Web Oscura a la Web Oculta: una guía para los nuevos investigadores El viaje a la Web Oculta: una guía Para nuevos investigadores Este manual lo llevará en un recorrido por los muchos niveles de la web profunda: bases de datos e información disponible en revistas académicas. Finalmente, llegaremos a las puertas de Tor. Leer más, y ahora están entrando en una circulación más amplia. Los inicios de sesión para Spotify, y otros sitios de transmisión como Netflix, están disponibles para su compra en las partes más turbias de Internet y, según un informe de McAfee Labs, estos inicios de sesión son circulados continuamente por ciberdelincuentes una vez que se han comprometido.”.
Kevin también insinuó que un “fuerza bruta” ataque podría estar detrás de la fuga, diciendo, “Otra posible fuente [de la fuga] es un programa que se utiliza para 'peinar' a través de contraseñas, o simplemente intentar múltiples combinaciones de contraseñas diferentes hasta que encuentre la correcta”.
Esto parece poco probable, ya que la mayoría de los servicios ahora limitan la cantidad de intentos de inicio de sesión fallidos que un usuario puede hacer. Sin embargo, no es imposible. En 2009, las cuentas de Twitter de Rick Sánchez, Bill O'Reilly y Britney Spears fueron comprometidas por piratas informáticos, y se publicaron mensajes ofensivos..
Este ataque solo fue posible porque, en ese momento, Twitter no limitó los intentos de inicio de sesión y un administrador tenía una contraseña de diccionario débil (era “felicidad”).
Quería saber cómo se compara esta filtración con otras filtraciones de alto perfil, como las filtraciones de Ashley Madison, PlayStation Network y Mate1. Kevin dijo que a diferencia de otras fugas notables, Spotify no es “poseer” eso. No se están haciendo responsables. Tampoco, añadieron, son ellos. “Ser proactivo en la protección de la información de sus clientes.”. A Shahbazi también le preocupa que la fuga pueda ser la obertura de algo mucho más grande..
“Al publicar una pequeña muestra de datos, los supuestos hackers podrían haber querido simplemente poner a Spotify en una posición defensiva. Luego, después de un corto tiempo, después de que hayan ordeñado la cuenta, probablemente publicarán el resto del volcado de datos. Si ese es su objetivo, entonces vendrá más vergüenza y los ejecutivos podrían terminar perdiendo sus posiciones en Spotify..” - Kevin Shahbazi
¿Por qué Spotify??
Quizás lo más desconcertante del ataque de Spotify es que es un objetivo tan poco probable. Para un delincuente cibernético, el atractivo de una cuenta bancaria o de PayPal comprometida ¿Es la banca en línea segura? En su mayoría, pero aquí hay 5 riesgos que debe conocer ¿Es la banca en línea segura? Sobre todo, pero aquí hay 5 riesgos que debe conocer Hay muchas cosas que me gustan de la banca en línea. Es conveniente, puede simplificar su vida, incluso puede obtener mejores tasas de ahorro. ¿Pero es la banca en línea tan segura como debería ser? Leer más es innegable. Pero Spotify no es una institución financiera. Es un sitio web de música. Le pregunté a Kevin por qué un hacker podría apuntarlo.
“El valor en atacar a Spotify, u otros servicios similares, varía de hacker a hacker. En este caso, la transparencia parece ser el motivo más probable detrás de la filtración reciente, para mostrar al público que su información no es necesariamente segura con la plataforma y, en última instancia, causar vergüenza a la marca..” - Kevin Shahbazi
Muchas personas optan por vincular sus cuentas de Facebook con Spotify. Esto simplifica el inicio de sesión y también agrega una dimensión social al servicio. Los usuarios pueden compartir sus canciones favoritas con sus amigos y obtener recomendaciones.
¿Podría esto llevar a más dolor para los usuarios afectados? Potencialmente, dijo Kevin. Especialmente si el usuario está utilizando una contraseña duplicada.
“Las contraseñas duplicadas (o la reutilización de una contraseña única en diferentes servicios) podrían ser un problema potencial. Ya que cualquiera puede acceder a cientos de inicios de sesión de Spotify, esto les da la clave para cualquier otra cuenta y servicio que use la contraseña filtrada..” - Kevin Shahbazi
Respuesta de Spotify
Dado el alto perfil de Spotify, era inevitable que la compañía eventualmente experimentara algún tipo de problema de seguridad. Pero en este caso, ha sido sorprendentemente indiferente en todo..
“Si bien [en el pasado] han sido proactivos al restablecer las contraseñas de los usuarios para las cuentas que parecen estar pirateadas, y han dicho que a menudo analizan sitios como Pastebin en busca de credenciales de Spotify, no lo han hecho con la supuesta piratería más reciente, a pesar de cientos de las credenciales de Spotify que aparecen en línea.” - Kevin Shahbazi
Los clientes afectados han tenido que comunicarse activamente con Spotify para recuperar el acceso a sus cuentas. Según las publicaciones en Twitter y varios artículos en la prensa tecnológica, esto no ha sido una tarea fácil. Lamentablemente, este no es un evento aislado para Spotify..
“Spotify ha negado la existencia de supuestos ataques similares que supuestamente tuvieron lugar en noviembre de 2015 y nuevamente en febrero pasado. En general, las declaraciones públicas de Spotify contradicen las experiencias de sus clientes..” - Kevin Shahbazi
Kevin no está seguro de por qué Spotify ha sido tan opaco con respecto a la existencia (o no) de un hack, o si fue víctima de un error del usuario. Sin embargo, le preocupa que “su falta de transparencia solo perjudica a su marca, reputación y, sobre todo, a sus clientes”.
¿Qué pueden hacer los usuarios afectados??
Literalmente cientos de usuarios se han visto afectados por la fuga. Existe una posibilidad muy real de que se hayan comprometido más cuentas, pero que aún no se hayan filtrado. Le pregunté a Kevin qué medidas deberían tomar los usuarios de Spotify para protegerse..
“Ya sea pirateado o no, todos los usuarios de Spotify deben conocer sus cuentas. Para aquellos cuya información ha sido comprometida, deben cambiar de inmediato su información de inicio de sesión para cualquier cuenta que utilice la misma contraseña, así como controlar cualquier cuenta financiera que pueda estar vinculada a Spotify. También deben ponerse en contacto con Spotify para informarles del problema con su cuenta y para restablecerlo..” - Kevin Shahbazi
Kevin agregó que aquellos que tuvieron la suerte de no ser incluidos en el volcado de datos también deberían tomar precauciones. Recomienda que todos los usuarios restablezcan sus contraseñas, y en todos los dispositivos donde está instalado Spotify, los usuarios cierran sesión y luego vuelven a iniciar sesión. También hizo hincapié en los peligros de confiar en contraseñas duplicadas.
“Este es otro caso en el que las contraseñas duplicadas vuelven a dañar a quienes buscan la facilidad de acceso a varias cuentas. Si bien puede parecer que la información de inicio de sesión de Spotify fue pirateada y todas las demás cuentas son seguras, si se usara una contraseña duplicada, podría usarse para iniciar sesión con éxito en otras cuentas que utilizan esa información, creando un efecto dominó.” - Kevin Shahbazi
La prevención es mejor que la cura
Es imposible para los consumidores evitar que sus datos sean filtrados por un servicio que utilizan, ya que no está en sus manos. El servicio debe tener buenas prácticas de seguridad y una buena seguridad de contraseñas. Pero, ¿qué pueden hacer los consumidores para limitar su exposición a futuras fugas? Kevin volvió a enfatizar que los usuarios deben evitar las contraseñas duplicadas y, cuando sea posible, usar la autenticación de dos factores.
“Otra forma en que los lectores pueden garantizar que la seguridad de su contraseña sea sólida es mediante la autenticación de dos factores (2FA). ¿Qué es la autenticación de dos factores y por qué debería usarla? ¿Qué es la autenticación de dos factores y por qué debería usarla? La autenticación (2FA) es un método de seguridad que requiere dos formas diferentes de probar su identidad. Se utiliza comúnmente en la vida cotidiana. Por ejemplo, pagar con una tarjeta de crédito no solo requiere la tarjeta,… Leer más, donde además de una contraseña, los usuarios deben proporcionar otra información, como una huella dactilar, un PIN o una pregunta de seguridad, que solo serían capaz de proporcionar.” - Kevin Shahbazi
Como era de esperar, Kevin recomienda el uso de un administrador de contraseñas para almacenar de forma segura contraseñas complejas. Él dijo “un administrador de contraseñas Cómo los administradores de contraseñas mantienen seguras sus contraseñas Cómo los administradores de contraseñas mantienen seguras sus contraseñas Las contraseñas que son difíciles de descifrar también son difíciles de recordar. ¿Quieres estar seguro? Necesita un administrador de contraseñas. Así es como funcionan y cómo te mantienen seguro. Leer más es una forma sencilla de evitar que los piratas informáticos causen estragos en su vida. Estos cifran las contraseñas en una 'bóveda' segura, a la que el usuario puede acceder a través de una contraseña maestra.” Añadió que esto facilita el uso de contraseñas seguras y complejas..
“Hay muchos administradores de contraseñas fiables y gratuitos. Asegúrese de que está utilizando una reputación. Muchos de ellos hacen más que simplemente almacenar su contraseña, así que busque las que usan “inyección” para insertar contraseñas en los campos correctos, en lugar de simplemente copiar y pegar desde el portapapeles. Esto le ayuda a evitar ser atacado a través de keyloggers.” - Kevin Shahbazi
Terminando
Kevin, tal vez con razón, se ve perturbado por la leve respuesta de Spotify a cientos de sus cuentas de usuario que se están rociando en Pastebin. Si esta fuga es única o si es indicativo de que algo más grande está por venir, aún está por verse..
Tratamos de comunicarnos con Spotify para comentar esta historia, pero no pudimos hacerlo. Si recibimos una respuesta de la compañía, actualizaremos este artículo con su respuesta..
Créditos de las imágenes: Vdovichenko Denis / Shutterstock.com
Explorar más sobre: Violación de seguridad, Spotify.