Jak Spotify “uczy nas” bezpieczeństwa w sieci

Nie sądziłem, że po tylu latach będę potrzebował lekcji w zakresie bezpieczeństwa kont w usługach cyfrowych – a jednak. Niespodziewanie, stało się to dzięki niekompetencji serwisu Spotify i mojej nieuwadze.

Wycieki się zdarzają…

Ostatni “wyciek” listy kont ze Spotify, miał (o ile się orientuję) w połowie 2019 roku.
Nie wiem czy w wykradzionej paczce danych hasła były zaszyfrowane czy nie – pewne jest , że nadal robi się z nich użytek. Po informacji o wycieku, naturalnie ustawiłem sobie znacznie mocniejsze, nowe hasło i zapomniałem o sprawie.

Internet jednak nie zapomniał. Moje konto pojawiło się na liście skompromitowanych kont Spotify na jednym z portali dla hackerów, script kiddies i innych wesołków.

Nie dziwi mnie fakt, że się pojawiło – ale raczej to, ze Spotify nie zareagowało – a na dodatek, konto pojawiło się z hasłem, którego używałem przed zmianą po wspomnianym wycieku.
Jak zatem ktoś zdołał z niego zrobić pożytek ?
Pojęcia nie mam – wiem tylko, że w Apple-owym pęku kluczy miałem ślad po zaktualizowanym haśle – stąd zakładam , że moja potencjalna demencja nie jest tu problemem.

Co zrobić w takiej sytuacji?

Nie będę się rozpisywał jak poznać , że konto zostało przejęte – bo to dość proste. W moim przypadku, najpierw podpięto sobie do pakietu rodzinnego dodatkowe konto “pasożyta”. Przyszła notyfikacja o “nowym członku rodziny”, której nie zauważyłem. Nie przyszło jednak powiadomienie o logowaniu z nowego urządzenia i z nietypowej lokalizacji – co jest co najmniej dziwne.

Po kilku dniach lista się jednak propagowała w kolejnych miejscach i kolejny żartowniś zalogował się już z jasnym zamiarem przejęcia kontroli nad kontem.
Znów nie przyszła notyfikacja o logowaniu – za to dostałem w jednej minucie informację o zmianie hasła oraz zmianie adresu email przypisanego do konta Spotify- słowem było po frytkach. Bez zatwierdzania, bez weryfikacji – bęc i zmiana. Straciłem szansę na odzyskanie kontroli nad kontem.

A co na to poradnik w sekcji FAQ na stronie Spotify?

Co radzi Spotify na wypadek utraty  kontroli nad kontem?
Poradnik Spotify – jak w kilka sekund doprowadzić człowieka do rozpaczy.

Oczywiście natychmiast zablokowałem powiązaną kartę kredytową i próbowałem skontaktować się ze Spotify. Hah. Tak – próbowałem…

Klasyczna pułapka na upierdliwych użytkowników

Co zrobić aby klienci nie nękali nas swoimi problemami?

Warto stworzyć barierę z tzw. FAQ, które skutecznie powstrzymają mniej zdeterminowanych klientów przed zgłaszaniem problemów.
Ci bardziej uparci, wijąc się pomiędzy absurdalnymi barierami z głupich pytań- pewnie w końcu dotrą do jakiejkolwiek możliwości wysłania wiadomości do zespołu wsparcia – choćby pod pretekstem problemów z płatnością – bo jak wiadomo – to zawsze działa najsprawniej z dużymi firmami 🙂

Spotify nie dostrzegło scenariusza, w którym przejęte konto może nie dawać użytkownikowi możliwości zalogowania się. I radośnie wymaga zalogowania się przed wysłaniem zgłoszenia o przejęciu konta. Wstałbym klaszcząc gdyby to miało sens ale… ręce mi opadły.

Ani na stronie www, ani na Facebooku nie znajdziecie możliwości dobicia się szybko do supportu. Polecam fortel z płatnością lub tworzeniem konta – te rzeczy jak wiadomo zawsze skupiają więcej uwagi niż bezpieczeństwo obecnych klientów.

Czas reakcji Spotify

W całej tej , żenującej historii jedno okazało się pozytywne – szybkość reakcji wsparcia Spotify. Trwało to może z 15 minut.
Wiem, że wyjdę na zgreda – ale niestety mimo szybkiej reakcji, na próżno było oczekiwać szczególnie proaktywnej postawy.

Sam musiałem zasugerować poinformowanie pozostałych posiadaczy kont z opublikowanej listy – i sam musiałem podesłać link do źródeł z informacją. Musiałem też wymusić przejrzenie FAQ pod kątem frustrującej bariery w zgłaszaniu problemów, gdyż Andrzej ze Spotify – choć uprzejmy to jednak nie podjął sam tego tematu, mimo że w naszym wątku parę razy wracałem do sprawy.

Takie czasy. Wąska specjalizacja i wąska perspektywa. A może to dla tego, e jednak zgłosiłem sprawę w niedzielę – dzień święty?

Zabawne, że w całym tym blamażu, Spotify nie tylko nie zaproponowało jakiejkolwiek rekompensaty ani nie wykazało cienia zainteresowania tym co dalej zamierzam zrobić. Informacja o zamknięciu konta spłynęła po nich jak po kaczce. Może to i lepiej – bo a nuż jeszcze bym się skusił? 🙂

Konkluzja na koniec?

Czym byłby taki post bez konkluzji.
Oczywiście powinienem napisać , że “głupie Spotify”, że lamusy i dziady – ale w sumie to chyba jasno wynika z tego tekstu. Nikomu nie powiem ,żeby się od nich wynieść – ale warto dzielić się takimi doświadczeniami jak moje – choćby po to aby zbudować świadomość, że to nie są bajki z gazet. Zawłaszczanie kont jest powszechnym procederem i o ile poważne firmy walczą z tym wprowadzając zabezpieczenia w swoich aplikacjach – o tyle wiele firm nadal udaje, że to nie ich problem.

Spotify miało dość czasu aby poprawić zabezpieczenie kont klientów.
Nie wprowadziło ani dwu składnikowej autentykacji ani nawet nie poczuwają się do aktualizowania swoich materiałów “pomocowych” dla klientów. Sami postanówcie co z tym zrobić. Dla mnie, ktoś kto pobiera ode mnie abonament nie dbając o moje bezpieczeństwo, nie jest godnym zaufania partnerem.

Każda usługa streamingowa ma swoje słabości. Kiedyś wyniosłem się od Deezera bo będąc za granicą nie mogłem słuchać muzyki – ani online ani offline. Teraz – po doświadczeniu ze Spotify, (po kilku latach) – przy okazji promocji pakietu hi-fi, wrócę do Tidala. Może dane mi będzie poużywać ich platformy równie długo co Spotify.

Jeszcze jedna sprawa na koniec: chcesz sprawdzić czy Twoje konto też jest wystawione na publiczny widok dla pasożytów i żartownisów?
Wpisz w cudzysłowiu swój adres mailowy w Google. Jest pewna szansa, że traficie na forum, gdzie wasze “kredensy” są do wzięcia. (oby nie.)

Cała historia uczy znacznie więcej niż tylko troska o zmianę haseł.
Uczy nawyku monitorowania sieci pod kątem swoich kont, oraz świadomości , że skompromitowanie konta w jednej usłudze, może skutkować lawiną problemów jeśli używacie podobnych lub zbliżonych haseł w różnych miejscach. Nawet jeśli upubliczniony zostanie tylko wasz email – zawsze to zwiększa szansę na niechciane subskrypcje spamu…

Chętnie poznam waszą perspektywę.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.