Para aquellos de nosotros lo suficientemente mayores como para recordar, una colección de música física o digital cuidadosamente seleccionada fue una vez una cosa de orgullo y alegría. Hoy, por supuesto, los servicios de transmisión de música como Spotify se han hecho cargo de las recomendaciones de selección de cerezas y de brindarle una transmisión continua de música sintonizada específicamente a su gusto. Ahora imagine si alguien tuviera el poder de causar estragos en esa transmisión de música cuidadosamente ajustada, o peor aún, bloquearlo de su propia cuenta. Desafortunadamente, un vistazo rápido a las redes sociales sugiere que ha habido un notable aumento en los usuarios que informan que sus Spotify Premium las cuentas han sido «pirateadas» y accedidas sin su permiso.
¿Que esta pasando aqui? ¿Por qué están ocurriendo estos hacks de Spotify Premium y, lo que es más importante, cómo protege su cuenta de Spotify contra estos hacks?
¿Por qué fue Hackeado mi Spotify Premium?
Si bien Spotify no ha reconocido un problema más amplio, mirar los informes de los usuarios de los suscriptores de nivel Premium pinta una imagen terrible. Los informes abarcan desde los relativamente inocuos, donde las cuentas de usuario se utilizan para escuchar música de forma gratuita sin dejar el acceso, hasta intentos mucho más nefastos, incluidos aquellos en los que el usuario está completamente bloqueado de su cuenta con sus datos bancarios aún vinculados. al servicio El hacker puede continuar usando la cuenta de forma gratuita, dejándolo sin medios fáciles de recuperar su cuenta.
Un vistazo rápido a Internet nos muestra cuán extendido es el problema. En Twitter, hay un nuevo informe de usuario cada pocos minutos quejándose de las cuentas tomadas:
El grado de «piratería» varía bastante. Algunas de las instancias más comunes incluyen perpetradores que solo usan la cuenta para escuchar música. Dado que Spotify solo permite una transmisión a la vez, esto deja al usuario atrapado en un proverbial tira y afloja para ver quién podrá reproducir música en un momento dado. Esto puede sonar gracioso, pero puede volverse irritante muy rápido. No solo es una molestia, sino que también elimina por completo el algoritmo de recomendaciones musicales de Spotify. La belleza de Spotify es su capacidad de proporcionarle un mundo de música, sintonizado y adaptado exactamente a sus preferencias. Con los datos de escucha de música del hacker vinculados con los suyos, podría ser bombardeado por el euro-pop mientras se relaja con su lista de reproducción de jazz favorita. ¡No es genial!
Las cosas pueden, por supuesto, dar un giro mucho más serio también. Hay más de unas pocas instancias de direcciones de correo electrónico de cuenta y contraseñas que se cambian. Una vez hecho esto, esencialmente queda bloqueado su propia cuenta. Esto también te deja sin la capacidad de eliminar los detalles de tu cuenta bancaria.
Las cuentas pirateadas se están utilizando para aumentar el recuento de obras de artistas oscuros por miles.
Una excavación más cercana revela que algo un poco más siniestro podría estar en juego. Sobre Reddit y de Spotify foros comunitarios, docenas de usuarios han notado que las cuentas pirateadas se están utilizando para acumular cientos o incluso miles de escuchas para álbumes oscuros de mezclas de DJ o pistas cortas de escucha ambiental.
UN BBC reporte confirmó que desde que Spotify permitió que artistas independientes pusieran su música a disposición en Spotify sin involucrar etiquetas, ha habido una cantidad de artistas sin nombre sin presencia digital acumulando una cantidad desproporcionada de transmisiones. Dado que las ganancias de los artistas están completamente ligadas a la cantidad de transmisiones, es fácil juntar dos y dos. Parece que hay un nexo más grande en juego para aumentar los ingresos de los álbumes falsos en el límite con cuentas hackeadas de Spotify Premium.
Nos comunicamos con Spotify para comprender mejor el problema en cuestión. La empresa dijo Autoridad de Android que es consciente de que los malos actores lanzan álbumes específicamente destinados a manipular los algoritmos del gigante de la transmisión. Por su parte, Spotify afirma estar haciendo un esfuerzo concertado para eliminar estos álbumes.
La compañía confirmó que está utilizando AI y patrones de aprendizaje automático para identificar a las personas que obtienen una gran cantidad de transmisiones en un corto período de tiempo. Esto levanta banderas y permite que la compañía analice mejor si el artista es legítimo o no.
¿Cómo puede estar pasando esto?
Aquí es donde las cosas se complican. En nuestra conversación con Spotify, la compañía culpó directamente a los usuarios. Específicamente, la compañía dice que los usuarios a menudo comparten contraseñas con amigos o familiares que podrían terminar reutilizando contraseñas débiles entre servicios. Cuando se filtran las contraseñas, es bastante trivial la fuerza bruta para ver si la cuenta es válida. Las herramientas de libre acceso pueden tomar una base de datos de miles de correos electrónicos, contraseñas y datos brutos comprometidos para obligarlos a intentar obtener acceso a Spotify, otros servicios.
Nos comunicamos con el analista de seguridad y fundador de He sido Pwned, Troy Hunt, quien dijo lo siguiente sobre el tema de la reutilización de contraseñas:
Spotify claramente necesita ser más resistente a esta forma de ataque y tienen un papel que desempeñar para proteger mejor a sus clientes, incluso cuando las adquisiciones de cuentas provienen de prácticas de seguridad deficientes de los clientes. Agregando [two-factor authentification] la capacidad es un buen ejemplo, aunque el problema con eso es que siempre hay excepcionalmente bajas tasas de adopción (Dropbox tiene aproximadamente el 1% de los clientes que lo encienden) y aquellos que son lo suficientemente conscientes como para usarlo son más propensos a practicar una buena higiene de contraseña en primer lugar.
Sin embargo, esa no es la única forma en que las cuentas pueden ser asumidas. En 2018, Facebook reveló una violación en su sistema de token de acceso (h / t El guardián) Esta violación afectó a más de 50 millones de usuarios. Este mismo sistema de token de acceso se puede utilizar para iniciar sesión en una cuenta de Spotify si tiene el suyo vinculado a su Facebook. Desde entonces, Facebook afirma haber revocado la mayoría de estos tokens de acceso.
Anteriormente, cientos de nombres de usuario y contraseñas de Spotify aparecieron como archivo de acceso público en Pastebin indicando que los hackers han tenido una forma de obtener acceso a las credenciales de los usuarios por un tiempo. No ha habido un respiro en los usuarios que reclaman cuentas pirateadas, lo que sugiere que no se han cerrado todas las lagunas de seguridad.
¿Cómo puedo evitar que mi cuenta de Spotify sea Hackeada?
Regla número uno del uso de Internet: nunca reutilice las contraseñas. Esto puede parecer un consejo estándar de Internet, pero un Encuesta 2019 de Google de 3.000 internautas mostraron que el 52% reutilizó contraseñas en múltiples sitios. Una sola violación de un sitio web mal asegurado puede terminar con su contraseña flotando en los rincones más oscuros de Internet. Hay muchas posibilidades de que la mayoría de nosotros hayamos creado una cuenta en un sitio web poco seguro. Si ha reutilizado su contraseña, es muy posible que esté disponible en Internet junto con su dirección de correo electrónico. Lo antes mencionado He sido Pwned es una gran herramienta para verificar si su dirección de correo electrónico se ha visto comprometida como parte de una violación de datos más amplia. Según el sitio, hasta la fecha se han violado más de nueve mil millones de cuentas de usuario en más de 400 sitios web.
Todos también deberían usar un buen administrador de contraseñas y un casillero. Combinado con una contraseña única y segura, un buen bloqueador de contraseñas puede reducir drásticamente las posibilidades de que su cuenta sea pirateada. LastPass, por ejemplo, es una excelente opción para generar contraseñas únicas para cada sitio web y almacenarlas de forma segura. La aplicación es multiplataforma y le permite acceder a sus contraseñas sobre la marcha a través de aplicación movil.
Spotify aún tiene que implementar soporte de dos factores a pesar de los hacks repetidos.
Un reciente estudio de Microsoft afirma que más del 99.9% de los intentos de piratería de cuentas pueden evitarse mediante el uso de autenticación de múltiples factores. Al requerir un componente de autenticación adicional, ya sea una contraseña única recibida por SMS, un autenticador seguro como Authy o incluso una clave de autenticación física, las posibilidades de que su cuenta sea violada se reducen drásticamente.
Desafortunadamente, Spotify aún no ha implementado soporte de autenticación de dos factores para el servicio de transmisión. A pesar de las múltiples peticiones y solicitudes de autenticación segura, la compañía no ha realizado ningún movimiento para habilitar la función de seguridad. Spotify se negó a comentar cuando nos comunicamos para confirmar si el soporte de dos factores era algo en lo que estaba trabajando.
Entonces, ¿cómo restauro mi cuenta hackeada de Spotify?
Si aún tiene acceso a su cuenta, su mejor opción sería seguir adelante y cambiar la contraseña. También debe continuar y revocar el acceso a servicios de terceros a través del sitio web de Spotify. Spotify hace esto muy sencillo. Todo lo que tiene que hacer es dirigirse al sitio web oficial y hacer clic en su cuenta. Desde aquí, haga clic en aplicaciones y se le presentará una lista de sitios web y aplicaciones que tienen acceso a sus credenciales de Spotify. Puede continuar y revocar permisos para cualquier aplicación que ya no esté utilizando. Del mismo modo, cambiar la contraseña es muy simple. En el sitio web, haga clic en los detalles de su cuenta para establecer un nueva contraseña.
Sin embargo, si el hacker ha cambiado la dirección de correo electrónico y la contraseña asociadas, hay algunos pasos más involucrados. El problema es tan frecuente que la página de soporte de Spotify proporciona un enlace directo para obtener ayuda en caso de que su cuenta haya sido tomada.
El soporte de chat de Spotify es su mejor apuesta para recuperar su cuenta, pero es mejor que tenga paciencia.
En este caso, se conectará al soporte de chat y deberá proporcionar documentos adicionales, como una factura de pago recibida por correo y una captura de pantalla de un extracto bancario que confirme el pago del servicio. Después de haber estado en la desafortunada posición de usar esto yo mismo, puedo decirte que es un proceso que lleva mucho tiempo pero funciona.
Ya terminé con esto, ¿cuáles son las mejores alternativas de Spotify?
Puede ser el servicio más popular, pero Spotify está lejos de ser el único servicio de transmisión de música. En caso de que quieras música de alta resolución, Tidal y Qobuzz Son excelentes alternativas. De hecho, incluso Deezer ofrece música de alta resolución que suena notablemente mejor que Spotify, siempre que tenga el hardware adecuado.
Apple Music es otro servicio de transmisión de música que se está convirtiendo rápidamente en un gran jugador. Con 45 millones de pistas, la biblioteca de música es más grande que la de Spotify. Puede ser una sorpresa, pero Apple ha hecho un muy buen trabajo con la aplicación de Android. La interfaz es limpia, la aplicación admite un modo oscuro nativo y le permite transmitir audio para transmitir dispositivos compatibles. Además, la radio Beats 1 es una opción bastante atractiva para los momentos en que solo quieres descubrir algo de música nueva y fresca.
Otra alternativa es Amazon Music. Puede tener una biblioteca más pequeña que otros servicios, pero se incluye con cualquier Suscripción a Amazon Prime. Ahora que ha agregado soporte de audio de alta resolución, es el único lugar donde puedes escuchar música Dolby Atmos, lo que lo hace imprescindible en caso de que hayas invertido en un Echo Studio.
Google Play Music, uno de los primeros jugadores en el negocio de transmisión de música, está a punto de ser cerrado y Google ha estado tratando de hacer que la gente cambie a YouTube Music como alternativa. El servicio combina una biblioteca de música robusta con el contenido más amplio de YouTube. Además, sigue siendo uno de los pocos servicios que aún ofrece un casillero de música para cargar sus propias pistas. Esta sigue siendo una opción para los usuarios con, particularmente bibliotecas de música de nicho que de otro modo no estarían disponibles para la transmisión digital. Para todos los demás, recomendaría esperar hasta que YouTube Music madure un poco y logre la paridad de las funciones con Google Play Music.
A pesar de ser el servicio de música más grande, Spotify tiene un récord irregular de entender lo básico. Por ejemplo, en lugar de una opción aleatoria verdaderamente aleatoria, todavía se ejecuta algorítmicamente y terminas escuchando las mismas pistas. Podría continuar con las características que faltan, como la compatibilidad con las letras, los cambios cuestionables en la interfaz de usuario (¿realmente necesitábamos un botón aleatorio agregado al icono de reproducción?) Y una miríada de otros puntos de dolor.
Sin embargo, la falta de enfoque en la seguridad es una gran marca negra en la plataforma de transmisión de música más popular del mundo. Con poco menos de 350 millones de usuarios activos mensuales, Spotify le debe a sus clientes asumir un papel proactivo en la protección de las cuentas y realmente no hay excusa para las instancias continuas de piratería de cuentas.
¿Alguna vez ha hackeado su cuenta de Spotify? ¿Qué tan difícil fue para usted recuperar el acceso? Infórmenos en la sección para comentarios.