חוקרים ישראלים זיהו: האקרים פרצו לספוטיפיי כדי לזייף מספרי האזנות
הפרצה התבססה על שימוש במאגר שמות משתמשים וסיסמאות, בהם גם של משתמשים ישראלים רבים, על מנת להתחבר לספוטיפיי, להגדיל באופן מכני את מספר האזנות ואף להציע ברשת רכישת מנוי לספוטיפיי באמצעות "רכיבה" על משתמש פעיל אחר
- ספוטיפיי רוצה להפוך לגוגל של הפודקאסטים
- ספוטיפיי תאפשר לאמנים לקדם את המוזיקה שלהם בעצמם, אך תשלם להם פחות
- להקות הרפאים בספוטיפיי הפכו את האלגוריתם למוסיקה
הפעילות זוהתה על ידי האקרים נעם רותם ורן לוקאר, בשיתוף צוות המחקר של אתר vpnMentor. בעבודה משותפת עם ספוטיפיי הצליחו החוקרים לסגור את האופרציה. זהות הגורמים שמאחורי המתקפה אינה ידועה.
במרכז האופרציה עמדה מערכת שליטה ובקרה (C&C) מתוחכמת, שעשתה שימוש במאגר של 380 מיליון שמות משתמש וסיסמאות, בהם גם של משתמשים ישראלים רבים, על מנת להתחבר לספוטיפיי. לפי הערכת החוקרים, בין 300 ל-400 אלף משתמשי ספוטיפיי הושפעו מהפריצה. הרשומות במאגר המידע לא דלפו מספוטיפיי עצמה, אלא הושגו מדליפות מידע אחרות, ומפעילי המערכת הריצו אותן מול מערכות השירות הפופולרי בתקווה לזהות פרטי התחברות של משתמשים שעושים שימוש באותה סיסמה לשירותים שונים.
"נקודת הכניסה היתה מערכת לוגים פתוחה שהראתה פעולות שבוצעו (חיבור לחשבון, בדיקת סיסמה, השמעת שיר ועוד')", אמר רותם ל"כלכליסט". "משם הם השאירו סיסמאות וכתובות נוספות שהובילו לשרתים נוספים, ככה שנחשפנו ממש לכל הרשת (של ההאקרים) ברמת מנהל המערכת".
התקרית, מדגישים החוקרים בפוסט שפרסמו, לא התחילה בספוטיפיי. "מאגר המידע שנחשף שייך לגורם צד ג', שהשתמש בו כדי לאחסן פרטי התחברות לספוטיפיי", הם כתבו.
"בתחילת החקירה שלנו יצרנו קשר עם ספוטיפיי כדי להציג להם את הממצאים הראשוניים. יחד הגענו למסקנה שהבעלים של מאגר המידע השיג את פרטי ההתחברות מאתרים אחרים והשתמש בהם על חשבונות ספוטיפיי. מדובר בטקטיקה מקובלת של פושעי סייבר לגישה לחשבונות בפלטפורמות פופולריות כמו ספוטיפיי, ומשהו שהחברה התמודדה איתו בעבר לאור השימוש הרחב בסיסמאות חלשות. חברות לא יכולות לשלוט בזה, מכיוון שאין להן דרכים למנוע מצרכנים לעשות שימוש חוזר בסיסמאות בכמה שירותים במקביל".
כשהתוקפים זיהו פרטי התחברות שתואמים לחשבון ספוטיפיי פעיל, הם השתמשו בהם לשתי מטרות מרכזיות. אחת: הונאה של החברה עצמה, באמצעות יצירת האזנות לשירים מסוימים, (ספוטיפיי משלמת תמלוגים בעבור כל שיר שמתנגן בשירות, ואף שמדובר בסנטים בודדים להשמעה בנפחים גדולים יכול הדבר להצטבר להכנסה משמעותית). מכיוון שכל אחד יכל ליצור "שיר" ולעלות אותו לספוטיפיי, התוקפים יכלו, בעיקרון, להעלות שירי רפאים לשירות ואז להשתמש בחשבונות הפרוצים כדי לייצר להם האזנות ולגרוף תמלוגים נאים.
המטרה השנייה: מכירת פרטי ההתחברות הגנובים למשתמשים במסווה של "מנוי לכל החיים" לספוטיפיי. מדובר בהונאה ידועה ששירותים רבים בתשלום מתמודדים איתה. גורמים עוינים משיגים פרטי התחברות לשירות כלשהו, ואז מוכרים אותם בזירות כמו eBay בטענה שמדובר בתשלום חד-פעמי בעבור מנוי לכל החיים, כשבפועל נרכש יוזר וסיסמה של משתמש אחר איתו מתחברים לשירות על מנת להנות מהתכנים על חשבונו. לא פעם, יגלה המשתמש המקורי שמישהו "רוכב" על המנוי שלו, ישנה סיסמה והמנוי "לכל החיים" שהוצע לקונה ייסגר.
בעקבות הפנייה של החוקרים הישראלים חייבה ספוטיפיי את כל המשתמשים שפרטיהם שהושפעו מהאופרציה לאפס את הסיסמה, וכך הפכה את פרטי ההתחברות ללא שמישים ושיתקה למעשה את פעילותה.
"זו דוגמה נהדרת לאיך חור באבטחת המידע יכול להפיל אופרציה שהושקעו בה לא מעט משאבים", אמר רותם. "זה נכון לרשתות פליליות, כמו זו שראינו כאן, וזה נכון לארגונים ממשלתיים ומסחריים. חור קטן אחד יכול להטביע ספינה שלמה, ואף ארגון לא פטור משמירה על סטנדרטים גבוהים של הגנה".