Polityka i prawo

Dane użytkowników Spotify w sieci. Eksperci zalecają zmianę hasła

fot. pixy
fot. pixy

Baza danych odnaleziona przez ekspertów vpnMentor zawierała ponad 72 GB danych. W sumie obejmowała ona 380 milionów pojedynczych rekordów zamieszczonych na niezabezpieczonym serwerze. Jak prognozują eksperci, zagrożonych może być od 300 tys. do 350 tys. użytkowników serwisu muzycznego Spotify.

Jak stwierdzają eksperci w swojej ekspertyzie najprawdopodobniej cyberprzestępcy wykorzystywali dane do logowania skradzione z innej platformy, aplikacji lub strony internetowej, które z kolei umożliwiły im dostęp do kont serwisu muzycznego. 

W wykrytej bazie odnaleziono zarówno nazwy użytkowników jak i hasła wykorzystywane także na Spotify, adresy e-mail oraz kraje zamieszkania. Wyciek w znacznej części przypadków ujawnił wiele adresów IP serwerów wykorzystywanych przez użytkowników.

Cyberprzestępcy zastosowali technikę „wypychania poświadczeń”, która poprzez przejęcie (kradzież) danych z innych baz pozwala uwierzytelnić się do innych serwisów. Jest ona skuteczna wtedy, kiedy ofiara wykorzystuje te same poświadczenia – w tym również te same hasła – do różnych portali.

Eksperci wykryli bazę 3 lipca bieżącego roku, natomiast już 9 lipca skontaktowano się ze Spotify. Następnie specjaliści vpnMentor we współpracy z serwisem muzycznym do 21 lipca pracowali nad rozwiązaniem problemu. W odpowiedzi na konieczność zabezpieczenia kont użytkowników, Spotify wdrożyło procedurę resetu haseł.

Co ważne i należy podkreślić, z analizy wynika, że incydent bezpieczeństwa nie jest wynikiem naruszenia serwisu muzycznego. Dane logowania pochodzą od bliżej niezidentyfikowanego podmiotu trzeciego. Przewiduje się, że baza ta została pozyskana w sposób nielegalny.

Co teraz? Eksperci wskazują, że pozyskane dane mogą umożliwić identyfikację użytkowników na innych serwisach, w tym mediach społecznościowych. Mogą również posłużyć do kierowania spersonalizowanych phishingowych wiadomości e-mailowych. Specjaliści zalecają również jak najszybszą zmianę haseł do serwisu.

Komentarze