| 23 нояб. 2020 г. — 7:04 PT
Хакеры, собравшие базу данных из 350 000 паролей Spotify, сохранили ее на облачном сервере… без пароля. Утечка также напоминает о ключевом принципе, которому следует следовать при выборе паролей для вашей учетной записи…
Не используйте одинаковые пароли для нескольких учетных записей.
CNET сообщает, что пароли были обнаружены с помощью метода подстановки учетных данных (credential-stuffing).
Группе хакеров не пришлось взламывать системы Spotify, чтобы получить доступ к 350 000 аккаунтов музыкального сервиса. Все, что им потребовалось, — это кэш учетных данных, украденных при других утечках данных, и немного терпения.
Хакеры добились успеха, потому что владельцы аккаунтов Spotify повторно использовали пароли от других своих учетных записей, что является базовой ошибкой в области безопасности. Хакеры просто должны были попробовать эти комбинации в Spotify и искать совпадения — метод, известный как подстановка учетных данных.
Простота этого метода не требует гениальности, что хакеры доказали, совершив собственную оплошность в области безопасности. Банда преступных «не-мастеров» раскрыла свою собственную операцию, сохранив записи в незащищенной облачной базе данных. Это означало, что любой, у кого есть веб-браузер, мог просматривать данные без необходимости вводить пароль.
Исследователи безопасности Ран Локар и Ноам Ротем обнаружили раскрытые записи в рамках проекта, который сканирует интернет на предмет незащищенных данных. Исследователи, которые просят удалять или блокировать обнаруженные ими незащищенные данные, опубликовали свои выводы в понедельник на сайте безопасности vpnMentor.
Повторное использование одного и того же пароля для нескольких веб-сайтов и приложений — одно из самых рискованных действий, которые вы можете совершить, поскольку это означает, что ваши логины так же безопасны, как и наименее безопасный или самый небрежный сервис, которым вы пользуетесь. Если этот сервис будет взломан, злоумышленники просто попытаются использовать украденные учетные данные на множестве других платформ. Одним взломом они могут получить доступ ко всем сервисам, которые вы используете с тем же паролем.
Менеджер паролей — это самый простой способ защитить вашу конфиденциальность, позволяя вам использовать уникальные, надежные пароли для каждой платформы. Safari имеет встроенный менеджер паролей и будет автоматически предлагать уникальные пароли для каждого сайта, но коммерческие менеджеры, такие как 1Password и LastPass, предлагают большую гибкость, работая в разных браузерах.