滚动
财经>财经要闻

我应该更改我的Spotify密码吗? Cracker Hacking Tool妥协成千上万的账户

2019-08-23

我应该更改我的Spotify密码吗? Cracker Hacking Tool妥协成千上万的账户

Spotify
正在使用名为Spotify Cracker的黑客工具来破坏Spotify帐户。 照片:downloadsource.fr/Flickr

据“国际商业时报”了解,一名安全研究人员发现了一种黑客工具,黑客们正在使用这种工具来破坏Spotify帐户。

首席执行官Ryan Jackson发现该工具的发现恰逢最近 - 尽管Spotify本身没有遭受直接的安全漏洞,据该公司称。

这个名为“Spotify Cracker v1”的工具被杰克逊描述为一种蛮力黑客工具,允许黑客劫持大量的Spotify帐户。 杰克逊与IBT分享了该工具的视频,其中它似乎识别了几个帐户并以明文形式显示了密码。

根据Jackson的说法,Spotify Cracker工具通过插入登录凭据来工作,登录凭据随后用于查找与该地址关联的Spotify帐户。 然后,该工具可用于危害这些帐户,包括免费会员和高级会员。

由于过去发生的违规次数很多,因此有大量的电子邮件地址和密码与在线可用的帐户相关联。 这些登录在网上买卖,偶尔也可以免费浮动。 由于许多人对多个站点使用相同的密码,因此违反一项服务可能会导致多个帐户遭到入侵。

杰克逊说,他在Pastebin上的一个文件中发现了一些电子邮件和密码 - 一种临时和匿名的服务,允许人们免费托管文本,并在工具中运行。 他说在大约15分钟后,他能够破解100个账户。

大规模破解账户的能力使得Spotify Cracker成为Spotify超过1.4亿活跃用户的迫在眉睫的威胁,其中包括超过6000万付费用户,他们拥有与其账户相关的信用卡或PayPal信息,可能会受到损害。

杰克逊说,他在Discord的私人服务器上找到了这个工具 - 一个主要由游戏玩家使用的流行的免费在线通信平台。 该服务器只能通过邀请访问,黑客可以使用它来交流,交易提示,工具和其他信息。 杰克逊花了很多时间与黑客组织,包括和 - 两个以大型和破坏性,虽然通常相对无害,网络攻击而闻名的团体。

根据杰克逊的说法,那些有权访问它的人一夜之间就一直在运行这个工具,允许它一次破解多达20,000个帐户。 他说,该工具每1.2秒就可以破解多达10个账户,并且理论上已经使用该工具破坏了“数百万账户”。

“这个工具正在进行交易,他们以较低的价格重新出售账户,每个账户1美元,”杰克逊说,并指出该工具到目前为止已包含在黑客社区中。 “它刚刚传递到现在。”

在与黑客工具联系时,Spotify告诉IBT它没有遇到数据泄露,但没有直接解决该工具。 “要明确的是,Spotify没有遇到安全漏洞,我们的用户记录是安全的,”该公司发言人说。

“我们确实关注其他服务的违规行为,并采取措施帮助我们的用户在发生这些服务时保护他们的Spotify帐户,因为很多人使用相同的登录名和密码组合进行多项服务,”该发言人说。 “因此,我们会检查诸如Pastebin等网站的泄露用户凭据,这些凭据可能会用于访问Spotify。”

虽然Spotify可能会监控泄露的凭据,但其自身的松散安全协议使Spotify Cracker等工具能够运行。 目前,Spotify允许用户不断猜测他们的密码不受阻碍,这对于无法记住密码的用户来说可能很方便,使得帐户容易受到暴力攻击。

在没有任何机制的情况下,在许多错误的密码尝试之后将用户锁定在帐户之外并且没有CAPTCHA来增加登录尝试的负担,攻击者可能只是继续猜测密码,直到他们成功破解帐户为止。

此外,流媒体音乐服务为用户提供了很少的保护自己。 Spotify不提供双因素身份验证,这将要求在登录尝试时输入发送到用户设备的辅助代码。 这样的选项将为用户提供防止密码泄露的额外防线。

当被问及是否打算更改其任何登录做法或为用户添加其他安全功能时,Spotify没有回复。

在Spotify提供额外的安全保护之前,Jackson建议用户采取措施保护自己。 “Spotify用户应该经常更改密码,”他说,并建议“为所有内容使用不同的密码”。

对于最近注意到奇怪活动的Spotify用户来说,这个建议可能特别相关。 就在上周,Reddit上Spotify社区的用户注意到从流媒体服务接收有关未经授权的登录和帐户活动的电子邮件。

“我想知道这是不是我。 我在22日早上被黑了。 他们重置了电子邮件和密码。 感谢Spotify帮助我恢复,“一位用户 。 另一位用户表示,他们 Spotify ,提醒他们与其帐户相关联的电子邮件地址已更改。 “所以这就是我无法登录的原因,”用户写道。


载入中...

责任编辑:柯稷