विज्ञापन

नवीनतम Spotify रिसाव अभी तक सबसे अजीब हो सकता है। पास्तिबिन पर सैकड़ों खाते छप गए हैं। इन खातों को पहले ही एक्सेस किया जा चुका है, जिनके कई ईमेल बदल चुके हैं। लेकिन न केवल हम नहीं जानते कि लीक के पीछे कौन है, स्पॉटिफ़ यह स्वीकार नहीं करता है कि इसे हैक नहीं किया गया है. तो क्या वास्तव में चल रहा?

यह जानने के लिए, मैंने केविन शाहबाज़ी, सुरक्षा विशेषज्ञ और पासवर्ड प्रबंधन फर्म के सीईओ के साथ एक चैट की व्यवस्था की LogMeOnce. केविन ने सुरक्षा उद्योग में खुद का नाम बनाया है। उन्होंने कई अलग-अलग इन्फोसिस कंपनियों को लॉन्च किया है, जिनमें से एक - ट्रस्ट डिजिटल, जो उद्यम स्तर की स्मार्टफोन सुरक्षा के विशेषज्ञ थे - थे मैकएफी द्वारा 2010 में अधिग्रहण किया गया.

सुरक्षा क्षेत्र में केविन की विशेषज्ञता निर्विवाद है, और मैं यह पता लगाना चाहता था कि उसने इस नवीनतम डेटा उल्लंघन से क्या बनाया है। मंगलवार की शाम को भेजे गए ईमेल की हड़बड़ी में, मैंने उसे इस पर ग्रील कर दिया कि लीक के पीछे कौन हो सकता है, स्पॉटिफ़ की प्रतिक्रिया के साथ क्या गलत था, और जो प्रभावित उपयोगकर्ता खुद को बचाने के लिए क्या कर सकते हैं।

instagram viewer

रिसाव की शारीरिक रचना

जब एशले मैडिसन पराजय एक ओवररिप कैंटालूप की तरह पॉप किया गया एशले मैडिसन लीक कोई बड़ी बात नहीं? फिर से विचार करनाऑनलाइन डेटिंग साइट एशले मैडिसन (मुख्य रूप से धोखाधड़ी करने वाले पति पर लक्षित) को हैक कर लिया गया है। हालांकि यह प्रेस की तुलना में कहीं अधिक गंभीर मुद्दा है, उपयोगकर्ता सुरक्षा के लिए काफी निहितार्थ हैं। अधिक पढ़ें , इसने डार्क वेब पर लाखों के घिनौने रहस्यों को उजागर किया। डेटा डंप, जो गीगाबाइट में मापा जाता है, ने साइट के कुलसचिवों की जीवनी संबंधी जानकारी से लेकर यहां तक ​​कि उनकी सभी यौन वरीयताओं को भी सूचीबद्ध किया है। Spotify लीक की तुलना कैसे की जाती है?

"जहाँ तक कितना डेटा लीक हुआ है, वहाँ केवल उल्लेख किया गया है कि अनिर्दिष्ट 'सैकड़ों' खातों से छेड़छाड़ की गई है। भुगतान की जानकारी और क्रेडिट कार्ड की जानकारी जैसी जानकारी लीक में शामिल नहीं थी, लेकिन ईमेल, उपयोगकर्ता नाम, पासवर्ड, खाता प्रकार और अतिरिक्त खाता विवरण थे। " - केविन Shahbazi

हमले के पीछे कौन था, इस पर अभी भी कोई जानकारी नहीं है, हालांकि इसे by के नाम से एक उपयोगकर्ता द्वारा प्रकाशित किया गया थाDrakia12Past पास्टबिन पर। केविन इस संभावना के लिए खुला है कि डंप अपने आप में नया नहीं हो सकता है, और इसके बजाय उन खातों से आया है जो पहले से ही लीक हो गए थे डार्क वेब हिडन वेब में यात्रा: नए शोधकर्ताओं के लिए एक गाइडयह मैनुअल आपको गहन वेब के कई स्तरों के माध्यम से एक दौरे पर ले जाएगा: शैक्षणिक पत्रिकाओं में उपलब्ध डेटाबेस और जानकारी। अंत में, हम Tor के द्वार पर पहुंचेंगे। अधिक पढ़ें , और अब एक व्यापक परिसंचरण में प्रवेश कर रहे हैं। Spotify, और नेटफ्लिक्स जैसी अन्य स्ट्रीमिंग साइटों के लिए लॉगिन, इंटरनेट के murkier भागों पर खरीदने के लिए उपलब्ध हैं, और के अनुसार McAfee Labs की रिपोर्टएक बार समझौता हो जाने के बाद, इन अपराधियों को साइबर अपराधियों द्वारा लगातार प्रसारित किया जाता है। ”

केविन ने यह भी संकेत दिया कि "क्रूर बल" हमला रिसाव के पीछे हो सकता है, कह सकता है, "रिसाव का एक और संभावित स्रोत [] प्रोग्राम को पासवर्ड के माध्यम से 'कंघी' करने के लिए उपयोग किया जाता है, या जब तक यह सही नहीं लगता है तब तक कई अलग-अलग पासवर्ड संयोजन का प्रयास करें एक"।

यह संभव नहीं लगता है, क्योंकि अधिकांश सेवाएं अब उपयोगकर्ता द्वारा किए गए विफल लॉगिन प्रयासों की मात्रा को सीमित कर सकती हैं। हालाँकि, यह असंभव नहीं है। 2009 में, रिक सांचेज़, बिल ओ'रेली और ब्रिटनी स्पीयर्स के ट्विटर अकाउंट हैकर्स द्वारा समझौता किया गया, और आपत्तिजनक संदेश पोस्ट किए गए थे।

sancheztwitter

यह हमला केवल इसलिए संभव था क्योंकि उस समय, ट्विटर ने लॉगिन प्रयासों को सीमित नहीं किया था, और एक व्यवस्थापक के पास एक कमजोर शब्दकोश पासवर्ड था (ये था "ख़ुशी").

मैं यह जानना चाहता था कि एश्ली मैडिसन, प्लेस्टेशन नेटवर्क और मेट 1 लीक जैसी अन्य हाई-प्रोफाइल लीक की तुलना में यह लीक कैसे हुआ। केविन ने कहा कि अन्य उल्लेखनीय लीक के विपरीत, Spotify यह "मालिक" नहीं है। वे जिम्मेदारी नहीं ले रहे हैं न ही, उन्होंने कहा, "वे अपने ग्राहक की जानकारी की रक्षा करने में सक्रिय हैं"। शाहबाज़ी यह भी चिंता करती है कि रिसाव कुछ अधिक बड़ा हो सकता है।

“कथित तौर पर हैकरों के एक छोटे से नमूने को प्रकाशित करने से हो सकता है कि वह Spotify को एक रक्षात्मक स्थिति में रखना चाहता था। फिर थोड़ी देर के बाद, वे खाते को दूध देने के बाद, वे संभवतः बाकी डेटा डंप को प्रकाशित करेंगे। यदि यह उनका लक्ष्य है, तो अधिक शर्मिंदगी का सामना करना पड़ेगा, और अधिकारी Spotify पर अपनी स्थिति खो सकते हैं। ” - केविन शाहबाज़

Spotify क्यों?

शायद Spotify हैक के बारे में सबसे ज्यादा हैरान करने वाली बात यह है कि यह एक ऐसा लक्ष्य नहीं है। एक साइबर अपराधी के लिए, एक समझौता किए गए पेपल या का आकर्षण ऑनलाइन बैंकिंग खाता क्या ऑनलाइन बैंकिंग सुरक्षित है? ज्यादातर, लेकिन यहां 5 जोखिम हैं जिनके बारे में आपको पता होना चाहिएऑनलाइन बैंकिंग के बारे में बहुत कुछ पसंद है। यह सुविधाजनक है, आपके जीवन को सरल बना सकता है, आपको बेहतर बचत दर भी मिल सकती है। लेकिन क्या ऑनलाइन बैंकिंग उतनी ही सुरक्षित और सुरक्षित है जितनी होनी चाहिए? अधिक पढ़ें निर्विवाद है। लेकिन Spotify एक वित्तीय संस्थान नहीं है। यह एक संगीत वेबसाइट है। मैंने केविन से पूछा कि एक हैकर इसे क्यों निशाना बना सकता है।

“Spotify, या अन्य समान सेवाओं पर हमला करने में मूल्य, हैकर से हैकर में भिन्न होता है। इस मामले में, पारदर्शिता हाल के रिसाव के पीछे सबसे अधिक संभावित उद्देश्य है, जनता को यह दिखाने के लिए कि उनके जानकारी आवश्यक रूप से प्लेटफ़ॉर्म के साथ सुरक्षित नहीं है, और अंततः ब्रांड को शर्मिंदा करती है। ” - केविन Shahbazi

बहुत से लोग अपने फेसबुक अकाउंट को Spotify से लिंक करना चुनते हैं। यह लॉगिंग को सरल बनाता है, और सेवा में एक सामाजिक आयाम भी जोड़ता है। उपयोगकर्ता अपने पसंदीदा ट्रैक को अपने दोस्तों के साथ साझा करने, और सिफारिशें प्राप्त करने में सक्षम हैं।

प्रोफ़ाइल

क्या इससे प्रभावित उपयोगकर्ताओं के लिए और अधिक दर्द हो सकता है? संभावित रूप से, केविन ने कहा। खासकर अगर उपयोगकर्ता डुप्लिकेट पासवर्ड का उपयोग कर रहा है।

"डुप्लिकेट पासवर्ड (या विभिन्न सेवाओं में एकल पासवर्ड का पुन: उपयोग) एक संभावित मुद्दा हो सकता है। चूंकि अब कोई भी सैकड़ों Spotify लॉगिन का उपयोग कर सकता है, इससे उन्हें किसी भी अन्य खातों और सेवाओं की कुंजी मिलती है जो लीक पासवर्ड का उपयोग करते हैं)। ” - केविन शाहबाज़

Spotify का जवाब

Spotify के हाई प्रोफाइल को देखते हुए, यह अपरिहार्य था कि कंपनी अंततः किसी प्रकार के सुरक्षा मुद्दे का अनुभव करेगी। लेकिन इस मामले में, यह सब कुछ के बारे में आश्चर्यजनक रूप से अप्राप्य रहा है।

"अतीत में रहते हुए] वे हैक किए गए दिखाई देने वाले खातों के लिए उपयोगकर्ता पासवर्ड रीसेट करने में सक्रिय रहे हैं, और कहा है कि वे अक्सर स्कैन साइटों को पसंद करते हैं Spotify क्रेडेंशियल्स के लिए पास्टबिन, वे सैकड़ों स्पॉटिफाई क्रेडेंशियल्स ऑनलाइन दिखाई देने के बावजूद सबसे हाल ही में कथित हैक के साथ ऐसा नहीं करते हैं। ” - केविन Shahbazi

प्रभावित ग्राहकों को सक्रिय रूप से अपने खातों तक पहुंच प्राप्त करने के लिए Spotify तक पहुंचना पड़ा है। ट्विटर पर पोस्टिंग और प्रौद्योगिकी प्रेस के विभिन्न लेखों के अनुसार, यह एक आसान काम नहीं है। अफसोस की बात है, यह Spotify के लिए एक अलग घटना नहीं है।

“स्पॉटिफ़ ने समान कथित हैक की मौजूदगी से इनकार किया है जो नवंबर 2015 और फिर से कथित रूप से हुआ था यह फरवरी फरवरी है. कुल मिलाकर, Spotify के सार्वजनिक बयान उनके ग्राहकों के अनुभवों के विपरीत हैं। - केविन शाहबाज़

केविन को यह पता नहीं है कि Spotify एक हैक के अस्तित्व (या अन्यथा) के बारे में इतनी अस्पष्ट रूप से अपारदर्शी है, या क्या यह उपयोगकर्ता त्रुटि का शिकार था। हालांकि, उन्हें चिंता है कि "उनकी पारदर्शिता की कमी केवल उनके ब्रांड, प्रतिष्ठा और सबसे अधिक, उनके ग्राहकों को नुकसान पहुंचा रही है"।

प्रभावित उपयोगकर्ता क्या कर सकते हैं?

वस्तुतः सैकड़ों उपयोगकर्ता रिसाव से प्रभावित हुए हैं। इस बात की बहुत वास्तविक संभावना है कि अधिक खातों से छेड़छाड़ की गई है, लेकिन अभी तक इसे लीक नहीं किया गया है। मैंने केविन से पूछा कि खुद को बचाने के लिए Spotify उपयोगकर्ताओं को क्या उपाय करना चाहिए।

“हैक किया गया है या नहीं, सभी Spotify उपयोगकर्ताओं को उनके खातों का संज्ञान होना चाहिए। उन लोगों के लिए जिनकी सूचनाओं से छेड़छाड़ की गई है, उन्हें तुरंत किसी भी व्यक्ति के लिए अपनी लॉगिन जानकारी बदलनी चाहिए एक ही पासवर्ड का उपयोग करने वाले खातों के साथ-साथ लिंक किए जा सकने वाले किसी भी वित्तीय खातों की निगरानी करें Spotify। उन्हें अपने खाते से समस्या के बारे में बताने के साथ ही इसे रीसेट करने के लिए Spotify से भी संपर्क करना होगा। ” - केविन शाहबाज़

LeakedAccounts

केविन ने कहा कि जो लोग भाग्यशाली थे उन्हें डेटा डंप में शामिल नहीं किया जाना चाहिए, उन्हें भी सावधानी बरतनी चाहिए। वह अनुशंसा करता है कि सभी उपयोगकर्ता अपने पासवर्ड रीसेट करें, और उन सभी उपकरणों पर जहां Spotify स्थापित है, उपयोगकर्ता साइन आउट करते हैं, और फिर वापस लॉग इन करते हैं। उन्होंने डुप्लिकेट पासवर्ड पर भरोसा करने के खतरों पर भी जोर दिया।

“यह अभी तक एक और मामला है जिसमें डुप्लिकेट पासवर्ड कई खातों तक आसानी से पहुंचने वाले लोगों को नुकसान पहुंचाने के लिए वापस आते हैं। हालांकि ऐसा लग सकता है कि Spotify की लॉगिन जानकारी हैक कर ली गई थी और डुप्लिकेट पासवर्ड था, तो अन्य सभी खाते सुरक्षित हैं इसका उपयोग, इसका उपयोग उस जानकारी का उपयोग करने वाले अन्य खातों में सफलतापूर्वक प्रवेश करने के लिए किया जा सकता है, जो एक डोमिनोज़ प्रभाव बनाता है। ” - केविन Shahbazi

रोकथाम इलाज से बेहतर है

उपभोक्ताओं के लिए यह असंभव है कि वे अपने डेटा को किसी ऐसी सेवा द्वारा लीक होने से रोकें जिसका वे उपयोग करते हैं, क्योंकि यह उनके हाथ में नहीं है। सेवा में अच्छी सुरक्षा प्रथाएं और अच्छे पासवर्ड वाली स्वच्छता होनी चाहिए। लेकिन उपभोक्ता भविष्य के रिसावों के लिए अपने जोखिम को सीमित करने के लिए क्या कर सकते हैं? केविन ने फिर से जोर दिया कि उपयोगकर्ताओं को डुप्लिकेट पासवर्ड से बचना चाहिए, और जहां संभव हो दो-कारक प्रमाणीकरण का उपयोग करें।

“एक और तरीका है कि पाठक यह सुनिश्चित कर सकते हैं कि उनकी पासवर्ड सुरक्षा मजबूत है दो-कारक प्रमाणीकरण (2FA) दो-कारक प्रमाणीकरण क्या है, और आपको इसका उपयोग क्यों करना चाहिएटू-फैक्टर ऑथेंटिकेशन (2FA) एक सुरक्षा विधि है जिसमें आपकी पहचान साबित करने के दो अलग-अलग तरीकों की आवश्यकता होती है। आमतौर पर इसका इस्तेमाल रोजमर्रा की जिंदगी में किया जाता है। उदाहरण के लिए क्रेडिट कार्ड से भुगतान करने पर न केवल कार्ड की आवश्यकता होती है, ... अधिक पढ़ें , जहां एक पासवर्ड के अलावा, उपयोगकर्ताओं को जानकारी का एक और टुकड़ा प्रदान करना आवश्यक है, जैसे फिंगर प्रिंट, पिन, या सुरक्षा प्रश्न, कि केवल वे ही प्रदान कर पाएंगे। ” - केविन Shahbazi

जटिल पासवर्डों को सुरक्षित रूप से संग्रहीत करने के लिए, अनजाने में, केविन एक पासवर्ड प्रबंधक के उपयोग की सिफारिश करता है। उसने कहा "एक पासवर्ड मैनेजर पासवर्ड मैनेजर कैसे आपके पासवर्ड को सुरक्षित रखते हैंऐसे पासवर्ड जिन्हें क्रैक करना मुश्किल है, उन्हें याद रखना भी मुश्किल है। सुरक्षित रहना चाहते हैं? आपको पासवर्ड मैनेजर चाहिए। यहां बताया गया है कि वे कैसे काम करते हैं और वे आपको कैसे सुरक्षित रखते हैं। अधिक पढ़ें हैकर्स को आपके जीवन पर कहर ढाने से रोकने का एक सरल तरीका है। ये पासवर्ड एक सुरक्षित ault वॉल्ट ’में एन्क्रिप्ट होते हैं, जिसे उपयोगकर्ता एक मास्टर पासवर्ड के माध्यम से एक्सेस कर सकता है।” उन्होंने कहा कि ये सुरक्षित, जटिल पासवर्ड का उपयोग करना आसान बनाते हैं।

“कई मुफ्त, विश्वसनीय पासवर्ड मैनेजर हैं। सुनिश्चित करें कि आप एक प्रतिष्ठित का उपयोग कर रहे हैं। उनमें से कई केवल अपने पासवर्ड को स्टोर करने से ज्यादा करते हैं, इसलिए क्लिपबोर्ड से केवल कॉपी करने और चिपकाने के बजाय सही फ़ील्ड में पासवर्ड डालने के लिए "इंजेक्शन" का उपयोग करने वालों की तलाश करें। यह आपको keyloggers के माध्यम से हमला करने से बचने में मदद करता है। ” - केविन शाहबाज़

समेट रहा हु

केविन, शायद ठीक है, पास्टिबिन पर अपने सैकड़ों उपयोगकर्ता खातों को स्पॉटिफाई करके हल्के प्रतिक्रिया से हैरान है। चाहे यह रिसाव एकबारगी हो या अगर कुछ बड़ा होने का संकेत मिलता है तो देखा जा सकता है।

हमने इस कहानी पर टिप्पणी के लिए Spotify के साथ संपर्क करने की कोशिश की, लेकिन ऐसा करने में असमर्थ थे। यदि हम कंपनी से वापस सुनते हैं, तो हम इस लेख को उसकी प्रतिक्रिया से अपडेट करेंगे।

छवि क्रेडिट: Vdovichenko डेनिस / Shutterstock.com

मैथ्यू ह्यूजेस लिवरपूल, इंग्लैंड के एक सॉफ्टवेयर डेवलपर और लेखक हैं। वह शायद ही कभी अपने हाथ में मजबूत काली कॉफी के कप के बिना पाया जाता है और अपने मैकबुक प्रो और अपने कैमरे को पूरी तरह से निहारता है। आप उनके ब्लॉग को पढ़ सकते हैं http://www.matthewhughes.co.uk और @matthewhughes पर ट्विटर पर उसका अनुसरण करें