Streamování je pohodlné a praktické, a proto jsou služby jako Netflix nebo Spotify tak populární. Jsou ale také oblíbeným cílem útočníků, kteří chtějí ovládnout uživatelské účty. V tomto případě nešlo o hackerské napadení Spotify, ale podle informací z července 2020 došlo k významnému útoku na jeho uživatele. K tomu byla použita databáze s přibližně 380 miliony datových záznamů, jejichž původ se nepodařilo objasnit.
Pravděpodobně ale šlo o informace o uživatelských účtech, které byly odcizeny v průběhu různých jiných útoků. Kombinace uživatelských jmen a hesel poté byly využity k útoku na uživatele streamovací služby. Vzhledem k tomu, že lidé často používají stejné přístupové údaje k různým internetovým službám, bylo tímto způsobem prolomeno kolem 350 000 účtů.
Spotify na událost zareagoval velmi rychle a poslal uživatelům výzvu k obnovení hesla. Dotčení uživatelé by to měli učinit co nejrychleji. Podobné útoky jsou u mnoha služeb na denním pořádku a uživatelé se mohou jednoduše chránit.
Základem je bezpečné heslo
Příklad zobrazení přihlašovacích údajů jednoho z uživatelů Spotify. V tomto případě bylo použito i heslo "spotify". | Zdroj: vpnMentor.com
Jedním ze základních bezpečnostních opatření je nastavení dostatečně silného hesla. To platí nejen pro Spotify, ale i pro další služby. Ale ještě dříve, než uživatelé začnou vytvářet bezpečná hesla, by měli skončit s opakovaným používáním stejných hesel u více různých služeb. Ukradené heslo u některé ze služeb je útočníky okamžitě vyzkoušeno na mnoha dalších. Protože se tak zpravidla děje automaticky, je vysoké riziko, že všechny účty se stejným heslem budou některým z útočníků zneužity.
Jedním z možných řešení může být používat správce hesel. Do programu se nastaví jedno dostatečně silné přístupové heslo pro práci s ním a další přihlašování už zprostředkuje sám správce.
Prověření kompromitace účtu či hesla
Zda došlo k úniku hesla se dá velmi jednoduše prověřit. | Zdroj: Chip/HaveIBeenPwned
Další krokem může být kontrola, zda používané heslo bylo součástí některého z úniků, a tedy existuje riziko, že bylo ukradeno a zneužito. K tomu účelu lze využít například službu Have I Been Pwned, která kompromitaci hesla prověří. Některé z password managerů, například KeePassXC, už funkci prověření hesla obsahují.
Ke slovu se také dostává skenování darknetu na případný únik hesel. Cílem je zjistit, zda konkrétní přihlašovací údaje nebyly odcizeny. Nástroje jako LastPass nebo Dashlane to nabízí ve svých placených verzích.
Spotify by se mělo zlepšit
Zlepšit by se měli i samotní uživatelé a začít tím, že nebudou používat univerzální jednoduchá hesla, která navíc slouží k přístupu do mnoha internetových účtů a služeb. Spotify by pro ochranu svých uživatelů také mohl udělat více, například konečně nabídnout dvoufaktorové ověřování. To by vytvořilo útočníkům další překážku. Je ale velmi málo pravděpodobné, že zrovna uživatel, který použije heslo "spotify", si nastaví dvoufaktorové ověřování. Spíš ho bude ignorovat.