MUSICA ON THE GO Attualmente Spotify è il servizio più utilizzato al mondo per l’ascolto di musica in streaming. Su smartphone, naturalmente, sia iOS che Android, e di conseguenza anche in auto, con i corrispettivi Apple Carplay e Android Auto. Stando a quanto ha dichiarato la stessa società lo scorso ottobre, gli utenti attivi nell’ultimo mese sono stati 320 milioni, di cui ben 144 sono abbonati al servizio Premium (quello che permette di non avere pubblicità, di skippare brani e creare playlist ecc.)
HACKER ALL’OPERA Una ricerca condotta dalla società informatica VPNMentor ha scoperto come alcuni hacker sono riusciti a entrare in centinaia di migliaia di account di Spotify. Non sono stati violati i sistemi di sicurezza del servizio in streaming, ma è stata utilizzata una tecnica di hacking piuttosto diffusa ed efficace, chiamata “credential stuffing”.
COME FUNZIONA Il principio alla base del credential stuffing è piuttosto deprimente: la gran parte degli utenti utilizza la stessa password per accedere a più servizi. In questo modo, se viene violato il database di un’azienda poco attenta alla sicurezza, i dati di accesso di quel servizio possono essere utilizzati per tentare di accedere ad altri servizi, in questo caso Spotify. Il bello (anzi, il brutto) è che questa tecnica è tra le più efficaci e utilizzate dagli hacker.
CREDENZIALI VIOLATE Il team che ha svolto la ricerca ha trovato un enorme database da 72GB, contenente la bellezza di 380 milioni di credenziali di accesso, la cui origine è sconosciuta; tra questi, i ricercatori stimano che almeno trecentomila fossero utilizzabili per accedere ad altrettanti account di Spotify.
ANCORA NIENTE 2FA Spotify è stato informato di questo problema già lo scorso luglio, e ha provveduto a forzare il reset della password agli utenti coinvolti da questo attacco, così che i loro account fossero al sicuro e i dati di accesso non più utilizzabili. Rimane il problema che, a oggi, Spotify ancora non supporta l’autenticazione a più fattori, utilizzato ormai praticamente da tutti i big dell’informatica, che aumenta esponenzialmente il livello di sicurezza dell’accesso a un servizio. Tra i metodi di autenticazione a due fattori più utilizzato c’è quello che prevede l’invio di SMS con codici univoci (e che scadono dopo pochi minuti) sul telefono associato a un account.
COME METTERSI AL SICURO Nell’attesa che Spotify si allinei a standard di sicurezza più stringenti, il modo più sicuro che ciascuno di noi ha per proteggersi da eventuali attacchi di questo tipo è renderli inutili: in altre parole, utilizzare password diverse per ogni servizio/sito a cui ci si iscrive. In questo modo, se anche un database dovesse essere violato, eventuali malintenzionati non potrebbero utilizzare quelle credenziali di accesso per collegarsi ad altri servizi. Le password devono essere soprattutto sicure, non tanto nel numero di caratteri strani utilizzati, quanto nella loro lunghezza. Per intenderci, è decisamente più sicura - e più facile da ricordare - la parola chiave “EVVIVA_Motorbox2020”, piuttosto che “x!@€2M”. In generale, può essere utile utilizzare un password manager, come quelli offerti dai sistemi operativi Android e iOS, ossia una “cassaforte” virtuale che tiene al sicuro tutti i dati di accesso.