300 ezer Spotify fiók adatai kerülhettek illetéktelen kezekbe

300 ezer Spotify fiók adatai kerülhettek illetéktelen kezekbe

Kiterjedt támadás áldozata lett a Spotify: a cég több mint 300 ezer felhasználójának információi kerülhettek veszélybe, miután ismeretlenek egy masszív, 72 gigabájtot meghaladó méretű, több külső adatszivárgásból összeállított adatbázis segítségével próbáltak hozzáférni a zenestreaming szolgáltatásban használt felhasználói profilokhoz.

A méretes adatszivárgás-gyűjteményt a vpnMentor biztonsági szakértői fedezték fel idén júliusban, az ügy részleteiről pedig a napokban blogposztban számoltak be. Eszerint az ismeretlen támadók egy jó eséllyel több forrásból összefércelt, több mint 380 millió rekordot tartalmazó adatbázis alapján próbáltak meg bejutni a Spotify felhasználóinak fiókjaiba. Az adatbázisban ott voltak a felhasználók email címei, a megadott tartózkodási országok, felhasználónevek, jelszavak, illetve az is, hogy azokkal sikeresen hozzá lehetett-e férni a megcélzott profilokhoz.

spotill

Hogyan akadályoz meg egy fejlesztő 14 karakterrel egy hackertámadást (x)

Sokszor gondoljuk, hatalmas erőfeszítés ellehetetleníteni egy támadást, pedig nem feltétlenül.

Hogyan akadályoz meg egy fejlesztő 14 karakterrel egy hackertámadást (x) Sokszor gondoljuk, hatalmas erőfeszítés ellehetetleníteni egy támadást, pedig nem feltétlenül.

Azt a kutatóknak nem sikerült kideríteni, hogy a hatalmas méretű adatbázist pontosan milyen forrásokból állították össze a támadók, posztjuk szerint ugyanakkor tudható, hogy az információk nem a Spotify-tól szivárogtak ki, valószínűleg más platformokról, appokból vagy egyéb online szolgáltatásokból illetéktelenül megszerzett adatokról van szó. Az adatbázist a támadók egyébként egy szabadon hozzáférhető Elasticsearch szerveren tárolták, bármiféle védelem vagy titkosítás nélkül.

A hasonló, több forrásból összetoldozott adatbázisok a kutatók szerint kifejezetten népszerűek a támadók körében, akik aztán a belépési adatokat több online szolgáltatás felületén is végigpróbálgatják, a fiókokhoz való hozzáférés reményében. A módszer sajnos nem elhanyagolható számú esetben sikeres is, miután a felhasználók továbbra is hajlamosak gyenge jelszavakat megadni, ráadásul ugyanazt a jelszót akár több online felületen is használják.

Az esetről a szakértők adatbázis felfedezését követően, idén július 9-én értesítették a Spotify-t, a vállalat pedig még aznap reagált a megkeresésre és július 21-ig pedig visszaállította minden érintett felhasználónál új jelszót állított be.

SSD Tárhely