不，Spotify，你不应该把神秘的u盘发给记者（Apps）

不，Spotify，你不应该把神秘的u盘发给记者

上周，Spotify向记者们发送了许多u盘，并附上一张纸条:“播放我的音乐。”

记者在邮件中收到u盘并不罕见。公司一直在分发u盘，包括在科技会议上，u盘通常包含促销材料或大文件，比如视频，否则很难被尽可能多的人使用。

但是任何接受过基本安全培训的人——在TechCrunch——都知道，在没有采取一些预防措施之前，永远不要插入USB驱动器。

Spotify送给记者的u盘

美国国家安全局(NSA)前黑客、Rendition Infosec的创始人杰克•威廉姆斯(Jake Williams)称，此举“令人惊讶地失聪”，目的是鼓励记者将硬盘插入电脑。

USB驱动器本身并没有恶意，但众所周知，它被用于黑客活动——比如发电厂和核浓缩厂——这些设备通常不连接互联网。威廉姆斯说，USB驱动器可能藏有恶意软件，可以打开并安装受害者电脑上的后门。

“USB上的文件本身可能包含活动内容，”他说，当打开时，可能会利用受影响设备上的漏洞。

Spotify的一位发言人没有发表评论。相反，它把我们的请求转交给了为Spotify工作的公关公司Sunshine Sachs，该公司除了“所有记者都收到了一封电子邮件，说这件事马上就会发生”外，对这份记录不予置评。

插入随机的USB驱动器是一个比你想象的更大的问题。谷歌安全研究员Elie Bursztein在他自己的研究中发现，大约一半的人会随机插入他们的电脑u盘。

约翰迪尔(John Deere)今年早些时候发布了一项促销活动，主动地劫持了这款电脑的键盘，引起了骚动。该驱动器包含的代码在插入时运行脚本、打开浏览器并自动输入公司网站。尽管这个驱动本身并不是恶意的，但由于恶意软件经常以一种自动的、脚本化的方式运行，这一举动受到了高度的批评。

鉴于USB驱动器可能造成的威胁，美国国土安全部的网络安全部门CISA上个月更新了有关USB驱动器安全的指导意见。记者是一些政府经常攻击的目标之一，包括有针对性的网络攻击。

记住:处理USB驱动器时一定要采取预防措施。除非你信任它，否则永远不要使用。