Mitten im digitalen Winter entdeckten Tausende von Schöpfern und Zuhörern, dass ihr Lieblings-Streaming-Musik-Service nicht so sicher war, wie es schien. Mitte Dezember begannen die Nutzer mit der Meldung von 403 Fehlern, indem sie versuchten, Zugriff auf SoundCloud aus VPN-Verbindungen, und bald bestätigte die Plattform, dass es unautorisierte Aktivität auf einem seiner Hilfs-Service-Panels erkannt hatte. Was im Prinzip so aussah wie ein technischer Fall, der ein massives Datenleck enthüllte, das Millionen von Konten betrifft.
SoundCloud, die 2007 als Raum für Künstler geboren wurde, um ihre Arbeit zu teilen und beherbergt heute Hunderte von Millionen von Spuren - nach dem Unternehmen selbst, mehr als 400 Millionen Songs- er berichtete, dass die Angreifer Zugriff auf begrenzte Informationen hatten, die das Unternehmen speichert. In seiner ersten Vorlage betonte SoundCloud, dass sensible Daten wie Passwörter oder Finanzinformationen nicht beeinträchtigt wurden und dass die extrahierten Daten auf E-Mails und Daten beschränkt waren, die bereits in öffentlichen Profilen sichtbar waren.
Diese Teilversion änderte sich jedoch, wenn der Lücke Reporting Service Habe ich gesungen? eine umfassendere Analyse veröffentlicht: Die Häufigkeit hätte etwa 29,8 Millionen Konten beeinflusst, einschließlich Postadressen, Namen, Benutzernamen, Avatare, Follower' und Folgezählungen, und in einigen Fällen der Ort nach Land. Diese Elemente, obwohl sie selbst nicht kritisch sind, reichen aus, um sehr überzeugende Social Engineering-Angriffe aufzubauen.
Nach der Untersuchung bestätigte SoundCloud weiter, dass die Gruppe namens ShinyHunters auf die Aktion zurückzuführen war und dass die Täter versuchten, die Plattform zu erpressen. In einer Update-Erklärung Mitte Januar gab das Unternehmen zu, dass die Angreifer ökonomische Anforderungen gestellt und Postsättigungstaktiken verwendet, um Nutzer, Mitarbeiter und Partner zu belästigen.
Warum ist diese Lücke gefährlich, auch wenn Passwörter nicht gestohlen wurden? Weil die Kombination von E-Mails und öffentlichen Profildaten die Entwicklung von gezieltem Betrug erleichtert. Eine Nachricht, die von einem engen Kontakt oder einer scheinbar legitimen Benachrichtigung von SoundCloud mit glaubwürdigen Informationen (wie die Anzahl der Follower) kommen scheint, kann viele Benutzer täuschen und führen sie zu offenbaren Anmeldeinformationen auf gefälschten Websites, installieren Malware oder akzeptieren bösartige Anfragen. Darüber hinaus benötigt ein Angreifer, wenn die gleichen Anmeldeinformationen in mehreren Diensten verwendet werden, nur einen Eintrag, um den Schaden zu multiplizieren.
Wenn Ihre Post unter den Betroffenen erscheint, ist die erste Sache nicht panisch, aber das Risiko nicht ignorieren. Überprüfen Sie, ob Ihre Adresse Websites des Rufes ausgesetzt war, wie Have I Been Pwned und überprüfen, ob es offizielle Benachrichtigungen in der Mitteilung, dass SoundCloud über den Vorfall veröffentlicht hat. Wenn Sie das gleiche Passwort in anderen Diensten verwenden, ändern Sie es sofort und, wenn möglich, aktivieren Sie zweistufige Überprüfung auf allen Plattformen, die es erlauben. Es ist auch ratsam, verdächtige Post und Anrufe zu überwachen: Angreifer können versuchen, die gefilterten Informationen für Phishing-Kampagnen oder sogar Voice-Phishing zu nutzen.
Neben spezifischen Maßnahmen ist es an der Zeit, Gewohnheiten zu stärken: Verwenden Sie Passwort-Manager, um einzigartige Schlüssel zu generieren, Multifaktor-Authentifizierung zu aktivieren, wenn möglich und betrachten Sie die Schaffung alternativer Postadressen oder Alias für Dienste, die nicht Ihre Hauptpost benötigen. Wenn Sie Mitteilungen erhalten, die von SoundCloud kommen, überprüfen Sie den Absender sorgfältig und vermeiden Sie Drücken von Links oder Download-Anhänge, ohne seine Authentizität zu bestätigen.
Dieses Leck lädt auch eine breitere Reflexion über die Sicherheit von Plattformen, die sich auf die kreative Gemeinschaft konzentriert. Dienstleistungen, die den öffentlichen Kontakt mit Millionen von Nutzern herstellen, sammeln Daten, die, auch wenn sie sicher erscheinen, für diejenigen, die versuchen, Betrug zu erpressen, zu schikanieren oder durchzuführen. Unternehmen müssen schnell Transparenz, was kompromittiert wurde, bieten Werkzeuge und Unterstützung, um ihre Nutzer zu schützen und die Nutzer müssen ihrerseits die Verantwortung übernehmen, ihre Exposition durch grundlegende Cyberhygiene-Praktiken zu reduzieren.
Wenn Sie die Kommunikation und den technischen Bereich vertiefen möchten, der öffentlich gemacht wurde, überprüfen Sie SoundClouds offizielle Note auf Ihrem Security Blog: Schutz unserer Nutzer und Service sowie die Zusammenfassung der Lücke in Habe ich gesungen?. Für praktische Empfehlungen zur Erkennung und Vermeidung von Phishing- und anderen gefilterten Betrug, FTC bietet nützliche Anleitungen die sowohl Schöpfer als auch Zuhörer helfen kann, das Risiko zu reduzieren.
Kurz gesagt, das Eindringen in SoundCloud ist eine Erinnerung: Im digitalen Zeitalter sind die öffentliche Belichtung und die Wiederverwendung von Anmeldeinformationen gefährliche Kombinationen. Musik verbindet Menschen, aber Sicherheit erfordert ständige und gemeinsame Anstrengungen zwischen Plattformen und Nutzern, so dass diese Verbindung nicht zum Missbrauch wird.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
Mini Shai-Hulud: der Angriff, der die Abhängigkeiten in Massenintrusionsvektoren verwandelte
Zusammenfassung des Vorfalls: GitHub untersucht unbefugten Zugriff auf interne Repositories, nachdem der als TeamPCP bekannte Schauspieler den angeblichen Quellcode und interne ...
Fox Temper präsentiert die Fragilität der digitalen Signatur in der Cloud
Microsofts Offenlegung der Operation von "Malware-signing-as-a-Service" bekannt als Fox Temper ersetzt im Zentrum die kritische Schwachstelle des modernen Software-Ökosystems: Z...
Trapdoor: der Maldumping-Betrieb, der Android-Apps in eine automatische illegale Einkommensfabrik verwandelte
Cybersecurity-Forscher haben eine Operation von Maldumping und mobile Werbebetrug als benannt entdeckt Traptüre, die legitime Android-Anwendungseinrichtungen in eine automatisch...
Von der Warnung bis zur Orchestrierung und IA-Aktion zur Beschleunigung der Reaktion auf Netzvorfälle
IT- und Sicherheitsteams leben eine bekannte Realität: eine ständige Flut von Alarmen von Überwachungsplattformen, Infrastruktursystemen, Identitätsdiensten, Ticketing-Tools und...
Nx Console in check: Wie eine Produktivitätserweiterung zu einem Anmelde-Diebstahl und einer Bedrohung für die Lieferkette wurde
Ein an Entwickler gerichteter Angriff zeigte erneut die Fragilität der Software-Versorgungskette: Die Nx Console-Erweiterung für Editoren wie Visual Studio Code, mit mehr als 2,...