Szerző: Hlács Ferenc

2020. november 24. 11:25

300 ezer Spotify fiók adatai kerülhettek illetéktelen kezekbe

Támadók más adatszivárgásokból szerzett azonosítókkal próbáltak hozzáférni a felhasználói fiókokhoz.

Kiterjedt támadás áldozata lett a Spotify: a cég több mint 300 ezer felhasználójának információi kerülhettek veszélybe, miután ismeretlenek egy masszív, 72 gigabájtot meghaladó méretű, több külső adatszivárgásból összeállított adatbázis segítségével próbáltak hozzáférni a zenestreaming szolgáltatásban használt felhasználói profilokhoz.

A méretes adatszivárgás-gyűjteményt a vpnMentor biztonsági szakértői fedezték fel idén júliusban, az ügy részleteiről pedig a napokban blogposztban számoltak be. Eszerint az ismeretlen támadók egy jó eséllyel több forrásból összefércelt, több mint 380 millió rekordot tartalmazó adatbázis alapján próbáltak meg bejutni a Spotify felhasználóinak fiókjaiba. Az adatbázisban ott voltak a felhasználók email címei, a megadott tartózkodási országok, felhasználónevek, jelszavak, illetve az is, hogy azokkal sikeresen hozzá lehetett-e férni a megcélzott profilokhoz.

spotill

Téli kuckózáshoz

Több 100 IT-előadás felvétele a HWSW Youtube csatornáján: csatlakozz!

Téli kuckózáshoz Több 100 IT-előadás felvétele a HWSW Youtube csatornáján: csatlakozz!

Azt a kutatóknak nem sikerült kideríteni, hogy a hatalmas méretű adatbázist pontosan milyen forrásokból állították össze a támadók, posztjuk szerint ugyanakkor tudható, hogy az információk nem a Spotify-tól szivárogtak ki, valószínűleg más platformokról, appokból vagy egyéb online szolgáltatásokból illetéktelenül megszerzett adatokról van szó. Az adatbázist a támadók egyébként egy szabadon hozzáférhető Elasticsearch szerveren tárolták, bármiféle védelem vagy titkosítás nélkül.

A hasonló, több forrásból összetoldozott adatbázisok a kutatók szerint kifejezetten népszerűek a támadók körében, akik aztán a belépési adatokat több online szolgáltatás felületén is végigpróbálgatják, a fiókokhoz való hozzáférés reményében. A módszer sajnos nem elhanyagolható számú esetben sikeres is, miután a felhasználók továbbra is hajlamosak gyenge jelszavakat megadni, ráadásul ugyanazt a jelszót akár több online felületen is használják.

Az esetről a szakértők adatbázis felfedezését követően, idén július 9-én értesítették a Spotify-t, a vállalat pedig még aznap reagált a megkeresésre és július 21-ig pedig visszaállította minden érintett felhasználónál új jelszót állított be.

a címlapról