15:21
28/10/2019

Ale większość z Was nie ma się czym przejmować. Takie listy haseł (i mniejsze i większe) regularnie pojawiają się w internecie. Nie zawsze oznacza to, że dany serwis (tu Spotify) został zhackowany; ktoś włamał się do niego i wykradł dane użytkowników. Czasem takie listy mają zupełnie inną genezę… Jak tworzą je przestępcy? Popatrzmy na 3 sposoby.

Zanim rozważymy sposoby, w jaki mogła powstać ta lista, dodajmy, że tylko ~200 adresów e-mail kończy się w niej na “.pl” a 327 kont przy opisie ma oznaczony kraj Spotify ustawiony jako “POLAND”. Polaków wśród ofiar jest zapewne z 2 razy tyle, gdyż sporo naszych rodaków ma konta na GMailu, a po samym adresie e-mail nie zawsze da się powiedzieć, jakiej narodowości jest właściciel. Podobnie — Polak na Spotify może mieć ustawiony język/kraj na inny niż Polska.”

1. Password Spraying

Ludzie używają tego samego hasła do wielu różnych serwisów. Przestępcy to wiedzą. Mają też dostęp do baz danych, które zostały wykradzione z różnych serwisów i regularnie weryfikują, czy czyjeś dane (a zwłaszcza hasła) znalezione w wykradzionej bazie z jednego serwisu, pasują do innego serwisu.

Jeśli Kasia ma konto w serwisie X, do którego ustawiła hasło kotek2017 oraz ma konto w serwisie Y do którego ustawiła to samo hasło, to wyciek danych z serwisu X pozwoli przestępcom — prędzej czy później — na nieautoryzowany dostęp do konta Kasi w serwisie Y. Nawet jeśli z Y nigdy żadne dane nie wyciekły.

Spotify też może być właśnie takim serwisem Y. Innymi słowy, ktoś mógł sprawdzić, czy da się do Spotify zalogować hasłami pozyskanymi z innych wycieków, np. z Morele. Jeśli się dało, to taka osoba została dodana do listy.

Czy ta hipoteza jest prawdziwa? To potwierdzić mogą osoby, które znajdują się na liście 25 000 haseł ze Spotify i pamiętają, gdzie jeszcze użyli tego samego hasła. Zacytujmy kilka haseł:

XXX@interia.pl:allegro1
XXX@o2.pl:o2poczta
XXX@op.pl:hyundai14
XXXh@wp.pl:tempra16

Jak widać, część z haseł wygląda na hasła z innych serwisówpoczty, Allegro. Dużo haseł jest też wokół słowa “purple” czy też marek samochodów, a nawet gier, np. “minecraft” lub “playstation”. To może sugerować, że sprawdzane były bazy forów tematycznych. W tym o grach i o samochodach. Przypomnijmy, że serwisu Autocentrum.pl wyciekło jakiś czas temu 144 000 haseł Polaków.

Wiemy, że kilku z losowo wybranych ludzi z listy Spotify było też na tzw. “Collection X” (por. Olbrzymi wyciek haseł 773 milionów internautów). Naszym zdaniem ktoś po prostu zrobił cross-check z CollectionX, sprawdzając czy STARE już DAWNO wykradzione hasła z INNYCH SERWISOW pasują też m.in. do Spotify.

Od “wycieku” CollectionX minęło już 10 miesięcy. Jak widać wciąż wiele z ofiar nie pozmieniało haseł — a więc nie tylko do ataków sextorsion (“zainfekowałem cię trojanem, podglądałem przez kamerkę, mam twoje dane, o popatrz jakie, zapłać mi“) takie stare listy mogą się przydać.

Z kronikarskiego obowiązku przytoczmy jednak pozostałe metody tworzenia takich list z hasłami:

2. Keylogger/Trojan

Tego typu listy mogą również być kompilowane poprzez podrzucenie ofierze keyloggera/trojana i odczekanie, aż zaloguje się ona do jakiegoś serwisu, wpisując hasło na klawiaturze lub wklejając je w pole hasło danego serwisu będącego na celowniku twórcy złośliwego oprogramowania. Taki malware często przybiera formę np. cracka do gry lub rozprzestrzenia się na serwisach z pirackimi treściami (jako najnowszy film, przypadkiem w formacie zip.exe).

3. Phishing

Hasła można też pozyskiwać po prostu prosząc o ich podanie same ofiary. Scenariusz z koniecznością zalogowania się do Spotify nie jest jakiś trudny w zrealizowaniu, ale czy komuś naprawdę chciałoby się to robić na taką skalę?

Atakujący wbrew pozorom biorą pod uwagę koszt ataku vs zysk, jaki będą z niego czerpać. Spotify nie jest atrakcyjnym celem ataku. Cudze konta można po prostu sprzedawać za grosze, do wąskiej grupy osób, która nie chce Spotify płacić za miesięczny regulamin niewiele większej sumy.

Czy jestem na tej liście?

Jeśli chcesz wiedzieć, czy jesteś na tej liście, wpisz w Google swoje hasło do Spotify i naciśnij szukaj. Nie! Nie rób tego, żartowaliśmy. Nigdy nie wpisuj swoich haseł poza oknem logowania do danej usługi. Jeśli naprawdę chcesz sprawdzić, czy Twoje hasło wyciekło, lepiej wpisz swój adres e-mail w Google. Na różnych serwisach publikujących wycieki, zazwyczaj format danych to:

adres@e-mail.pl:haslo

Mam Spotify — co robić, jak żyć?

Niezależnie od tego, czy znajdujesz się na tej liście, czy nie, możesz zmienić hasło do Spotify. Nowe utwórz przy pomocy managera haseł (por. Jak rozpocząć swoją przygodę z Managerem Haseł?). Jeśli masz więcej czasu, zmień także hasła w innych ważnych dla Ciebie usługach na unikatowe, czyli takie, których nie używasz w innym serwisie. Znów manager haseł przyjdzie z pomocą.

Dobrym pomysłem będzie też ustawienie dwuetapowego uwierzytelnienia tam, gdzie się da, a zwłaszcza do swojej poczty (por. Dwuetapowe uwierzytelnienie — jak ustawić je poprawnie?).

Jak już to wszystko zrobisz, to nagródź się przesłuchaniem tej playlisty na Spotify :)

Pamiętaj też, że wycieki danych to bardziej skomplikowany temat i swoje hasła, dane osobowe oraz poufne informacje można stracić na wiele sposobów. Warto je wszystkie znać i umieć się przed nimi zabezpieczyć. To nie takie trudne. Wszystko czego potrzebujesz dostaniesz od nas na poniższym wykładzie:


Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Więcej na temat tego co będzie na wykładzie dowiesz się stąd, a rezerwacji miejsca na wybranym terminie możesz dokonać klikając tutaj.

PS. A na sam koniec, to warto podkreślić, że nikt (chyba?) nie ma pewności, że wszystkie te hasła w ogóle pasują do kont Spotify. Nikt rozsądny nie będzie tego testować, narażając się na odpowiedzialność karną. Więc jest też spora szansa, że mamy tu zlepek nie-wiadomo-czego z nie-do-końca-wiadomo-skąd, co ktoś nazwał sobie akurat “zbiorem użytkowników Spotify”.

PPS. Jeśli jesteś ofiarą i znalazłeś się na tej liście — daj znam znać, z chęcią sprawdzimy, skąd przestępcy mogą mieć Twoje dane.

Przeczytaj także:

37 komentarzy

Dodaj komentarz
  1. Szkoda, że w Spotify nie ma 2fa.

  2. Ciekawy jest rozkład haseł na tej liście, tych słownikowych, a już szczególnie ze znakami specjalnymi :D

  3. Wczoraj wieczorem,dosłownie pięć minut po tym jak zakupiłem usługę premium w Spotify zobaczyłem właśnie info z fanpage’a CERTu o wycieku. Hasło zmieniłem przy okazji skoro już byłem zalogowany na swoim koncie.

  4. ja jakieś stronie była lista sprawdziłem za pomocą znajdz nawet po wpisaniu nie pełnego maila nie ma tak mam inne hasła do tego do najważniejszych usług zapisane tylko starym sposobem kartka papieru schowana

  5. Offtop:

    najnowsza ksiazka Snowdena za 18zl:

    https://www.swiatksiazki.pl/pamiec-nieulotna-6590640-e-book.html

  6. Powinniście również zauważać, że poza unikalnymi hasłami stosowanie unikalnych adresów e-mail to bardzo dobry nawyk. Mam namyśli aliasy w stylu login+serwis@gmail.com

    • Tak, jak najbardziej. Przy czym ci bardziej rozgarnięci dealerzy/spamerzy obcinają wszystko od + do @ i tyle z analizy. W Gmailu, jakby się ktoś uparł, to jeszcze może kropkami “kodować” :-)

    • To co napisałeś dotyczy spamu, ale nie dotyczy zgadnięcia maila potrzebnego do zalogowania.

    • Dlatego ja mam osobną domenę do używania w randomowych serwisach i każdemu podaję inny email (wymyślam na poczekaniu jakiś tekst przed @) oraz zapisuję sobie, komu jaki podałem. W razie draki wiem kogo winić za wyciek :-) ale zazwyczaj nie chce mi się pisać donosów, po prostu usuwam konto w danym serwisie, wrzucam adres na czarną listę, i spokój.

      Trochę z tym więcej zachodu, ale załatwia większość spamu związanego z wyciekami.

    • Ale kolezko niektore serwisy nie ogarniaja into + i nie przyjma e-maila z tym znaczkiem to ty wiedz.

  7. Szczerze niedawno miałam sytuację że ktoś korzystał z mojego konta. Wcześniej i tak było coś nie tak bo nie mogłam zalogować się na nie za pomocą loginu i hasła ale na moje szczęście konto spotify było połączone z facebookiem i tak dowiedziałam się że nie tylko hasło było zmienione ale również email. Napisałam na ten mail co był podany okazało się że ktoś perfidnie włamał się na moje konto a później sprzedał je innej osobie zmieniając dane logowania tylko chyba sprzedający nie spodziewał się tego że i tak dostanę się na to konto. Ta osoba która korzystała z mojego konta nawet nie wiedziela że używa cudzego konta . Przestroga na przyszłość

  8. Sprawdziłam i niestety na tej liście był mój adres email. Na szczęście tego hasła używałam tylko na koncie Spotify. Od razu zmieniłam.

    • Podaj adres email, sprawdzimy czy rzeczywiście tylko tam ;)

  9. Haha haslo do spotiufy faktycznie tragedia, trzeba zmienic juz wszedzie lol. Dajcie spokoj juz jakas paranoja z tymi haslami jest ze do kazdej strony serwisu bla bla bla osobne haslo i mail… Nie dajcie sie zwariowac, w dupie mam czy moje haslo do spotify czy do jakiegos forum jakis hakjer ma. Mozna miec jedno haslo do wielu ale pod warunkiem ze tam nic akurat nie ma takiego wielkiego

  10. W sobotę zostałem wylogowany ze spotify z informacją, że zauważono podejrzaną aktywność na moim koncie.

  11. Jakiś czas temu “znajomej” przejęli konto na Spotify korzystając z loginu i hasła z tego wycieku:
    https://haveibeenpwned.com/PwnedWebsites#BlankMediaGames
    (później pojawiło się jeszcze tutaj: https://pastebin.com/V21pn7Yh i https://cdn-14.anonfile.com/y9I0tavfbd/8d383922-1564865222/400k.txt).
    Obstawiam więc i tutaj scenariusz nr 1.

  12. Czy jak się rejestruje na jakiejś stronie przy pomocy fb albo google to przy wycieku haseł wycieka moje hasło do tych serwisów czy wyciek mnie nie dotyczy?

    • Nie, hasło nie wycieka.
      Tak, wyciek może ciebie dotyczyć – po prostu stopień w jakim będzie cię dotyczył będzie zależeć od dostępu do twojego konta jaki te serwisy mają (w przypadku Google może to być od nazwy użytkownika, po nawet dostęp do np. zawartości konta email. Ale to drugie jest rzadkie [tj. niewiele aplikacji tego potrzebuje] i raczej nie powinno się dawać aplikacjom takiego dostępu)

  13. Czy w przypadku wycieku na jakiejś stornie gdzie rejestrowałem się przez fb albo google to wycieka moje hasło do tych serwisów czy wyciek mnie nie dostyczy?

  14. Panie Piotrze,
    Jeśli macie dostęp do takiej listy, to stwórzcie skrypt pozwalający sprawdzić, czy email jest na liście? Użytkownik odpytuje się, czy jego email jest na liście i na sprawdzany adres email otrzymuje informację, że takowy email z danym hasłem znajdują się w ogólnodostępnej liście haseł i radzicie je zmienić.

  15. Ha, dobrze że przestałem korzystać ze Spotify

  16. tak się kończy podawanie prawdziwych danych w społecznościówkach. to jest świetny łakomy cel do ataków, a zabezpieczenia są takie jakie widzimy.
    teoretycznie mogliby oni wynieść dane do źródła które wymagałoby autoryzacji per klient, ale tego nie robią. zamiast tego zapinają zachashowaną bazę danych, i to algorytmem odwracalnym. jedynie hasło jest hashowane nieodwracalnie, bo pozostałe dane zazwyczaj muszą być używane, i musi być do nich jakiś dostęp. co z tego skoro klucz do takiego haslowania musi być wbity do algorytmu?

    a nie lepiej zrobić z tego usługi pośredniej, pod spodem? zamiast zapinać bazę danych wprost? ale gdzie tam, to ponoć “takie trudne” uech ….

  17. Jestem pod wrażeniem ile z tych danych jest dostępnych na ruskich forach, do różnych kont i to publicznie.

  18. Irytuje mnie czasem logowanie przez Facebooka do Spotify, ale jak widać warto. ;)

  19. Przecież hasła do Spotify chodzą po świecie regularnie. Mi też pojechali konto jakiś rok temu. Spotify ma takie rzeczy głęboko w powarzaniu. 2fa jak nie było tak nie ma. Po sieci chodzi oprogramowanie pod nazwą Spotify password cracker. Polecam poczytać bo widocznie ochrony na bruteforce też im się nie udało zaimplementować.

  20. Hejjj no znalazłam swoje e-mail i hasło na jakiejś rosyjskiej stronce co teraz ?

    • -Zainstaluje menadżera haseł
      -Na każdym portalu, na którym użyłeś/aś tego samego email zmień hasło (na każdym portalu ustaw inne hasło generowane z menadżera i w nim je zapamiętaj
      -Zrób kopie zapasową bazy menadżera haseł co by nie zginęły.

      Wersja zaawansowana:
      -Zarejestruj swoją własną domenę, ustaw hosting i pocztę,
      -Ustaw przynajmniej jedno konto email,
      -Ustaw email tak, aby maile na nieistniejący adres spływały na ten jeden email,
      -Na każdym portalu zmień email na taki, że gdy będzie przychodzić spam to będzie wiadomo z jakiego portalu wyciekła baza. W ten sposób wyszły na jaw włamania do takich portali jak Dropbox, Paczkomaty czy Morele

  21. Cześć, a zastanawiałem się co to za “jamie iphone” przerwał mi odtwarzanie metalowego transu żeby posłuchać gówno muzyki.

  22. No z tą listą na spotify to nieźle pojechałeś Piotrze :)
    Spodziewałem się RickRolla a tu taka heca!!!

    Pozdrawiam

  23. Z tymi bazami mam taki problem – od dłuższego czasu podaje różne konta email na różnych serwisach ze wzoru PortalData@mojadomena oraz mam jedno konto, które podaje na potęgę do różnych baz reklamowych, które potem rozsyłają newslettery – taki Anty-Atak z mojej strony.

    Te konta per serwis nigdy nie pojawiły się w żadnym wycieku, natomiast to zapodawane do newsletterów pojawia się tu i ówdzie, jest także na haveibeenpwned. Druga ciekawostka – Hasło podane w wycieku może być bezużyteczne, nie używane nigdzie, nieprawdziwe – bo kto by to weryfikował?

    Miałbym taki wniosek – uważajmy także gdzie zapisujemy się na newslettery.

  24. Hmm… coś strasznie mało tych linijek.

  25. Załóżmy, że w Internecie trafiam na listę zawierającą tysiące haseł do polskich kont pocztowych na Onecie, Interii itd. Czy jest jakiś prosty sposób, w który mogę pomóc ofiarom wycieku? Czy wysłanie zgłoszenia na cert.pl lub wysłanie takiej listy bezpośrednio do dostawcy poczty coś da? Jaka jest praktyka polskich dostawców poczty w takim przypadku? Czy jeśli się dowiedzą o wycieku to blokują dostęp do odpowiednich kont, wymuszają przejście jakiejś procedury odzyskiwania konta?

  26. @Marcin. Onet tak mi kiedyś zablokował konto. Dostałem podczas logowania info, że konto zostało zhackowane. Na szczęście to było konto używane do jakichś spamowych stronek więc olałem.

  27. widze, ze moderacja/cenzyra pelna para idzie i tylko reklama podwojnego zabezpieczenia jest ok
    Brawo mirki, robi sie maly wykopek – klub wzajemnej masturbacji

  28. Niecałe 3 tygodnie temu ktoś próbował przejąć moje konto.
    Zaczęło się od tego, że muzyka odtwarzana z rana na komputerze co chwilę była pauzowana, natomiast wieczorem, podczas słuchania na telefonie, włączył się nieznany mi utwór, przerywając moją playlistę.
    Około godziny 22, przy próbie ponownego uruchomienia Spotify na telefonie, zastałam ekran logowania. Dane nie pasowały.
    Całe szczęście byłam zalogowana przez Facebooka, tak udało mi się odzyskać konto, jednak nie mogłam zmienić hasła.

    I tu chciałabym pochwalić support Spotify – na czas analizy zgłoszenia zablokowali konto, a po weryfikacji (prosili o podanie ostatnich urządzeń, na których korzystałam z serwisu) przypisali nowy, podany przeze mnie, adres e-mail do konta.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: