Spotify提醒用户,部分注册信息无意中暴露给第三方业务合作伙伴,包括电子邮件地址、首选显示名称、密码、性别和出生日期。这至少是世界上最大的流媒体服务提供商在不到一个月的时间内发生的第三起违规行为。
Spotify该事件的声明称,数据泄露是由于4月9日发现的软件漏洞,直到最近才修复。
官方声明称:"我们非常重视个人信息泄露事故,并正在采取有效措施保护您和您的个人信息安全。我们对企业进行了内部调查,并联系了所有可能联系您的账户信息的合作伙伴,以确保您的个人信息不会泄露给他们。"
Spotify的目标
前几天宣布这个消息,也就是Spotify Wrapped 在2020年最受欢迎的流媒体发布期间,流媒体服务提供商的一些最受欢迎的明星页面被称为 "Daniel "恶意攻击者通过劫持接管Dua Lipa和Pop Smoke在内的Spotify表达他对特朗普和泰勒斯威夫特的支持。
事件发生前一周,即11月底,Spotfiy企业的大量账户在登录凭证重新认证后被接管。在这种攻击中,网络攻击者利用了重复使用密码的习惯;他们试图在不同的服务中窃取用户的密码ID,然后获得一系列账户访问权。
Mentor研究人员发现了一个开放的漏洞Elasticsearch其中包含380多个数据库Spotify用户记录,其中包括用户登录凭证。
该公司表示:"暴露的数据库属于一个第三方的平台,该平台正在使用它来存储Spotify登录凭证,这些凭证很可能是非法获得的,也可能是从其他平台泄露的。"
违规事件发生后,Spotify启动密码重置回滚功能,使原始数据失效。
Spotify凭证泄露
现在Spotify用户数据再次泄露。
Spotify发言人给Threatpost声明中写道:"有一小部分Spotify用户可能会接受软件bug漏洞得到了修复和改进。保护用户隐私和权益是Spotify首要任务。为了解决这个问题,我们重置了受影响的用户的密码。我们将认真履行这些义务。"
该公司敦促用户尽快更新使用相同电子邮件账户绑定的密码。
Spotify声明中补充道:"再次强调,虽然我们没有发现任何未经授权使用您的个人信息,但为了保险,我们希望您能保持警惕,密切观察您的账户,如果您找到您的账户Spotify如果账户有任何可疑行为,可以及时通知我们。"
Digital Shadows威胁研究员Kacey Clark告诉Threatpost,恶意攻击者发起凭证填充攻击所必需的被盗数据。
Clark向Threatpost解释道:"暴力破解工具和账户检查器是许多账户接管攻击的基础,使攻击者获得更多数据。它们主要用于API或者网站登录系统的自动脚本或程序,攻击者可以通过这些工具访问用户账户"。
一旦攻击者进入系统,很可能会对系统造成严重损坏。
Clark补充道:"使用暴力破解工具或账户检查器的攻击的攻击活动IP地址、虚拟特殊网络服务、僵尸网络或代理来保持匿名或提高账户访问的可能性,一旦他们进入系统,他们可以使用户用于其他恶意目的,或窃取账户中的所有数据(包括支付卡信息或个人身份信息)以获得经济利益。"
她用Digital Shadows的研究结果证明了这一点,研究结果发现对于流媒体服务的攻击占犯罪市场上攻击总数的13%。
流媒体服务成为攻击的目标
众所周知,媒体和流媒体服务是凭证填充攻击的主要目标。Akamai最近发现,Spotify等流媒体提供商存在凭证填充攻击的风险。
该公司称:"黑客非常重视知名在线流媒体服务的商业价值"。Akamai在关于媒体行业安全的最新报告中,发现过去一年观察到的880亿凭证填充攻击中,有20%是针对媒体公司的。
Akamai研究员Steve Ragan解释道:"只要我们有用户名和密码,网络犯罪分子就会试图入侵系统,获取高价值的账户信息。公共密码和回收机制是导致凭证填充攻击的两个最重要的因素。"
虽然使用良好的密码保护措施可以很好地保护用户的数据隐私,但是Ragan强调企业需要积极采取防御措施,提高安全性,维护消费者权益。
虽然保持良好的凭证登录习惯对于避免这些攻击非常重要,但企业应该部署更强大的认证方法,使用技术、政策和专业知识来保护用户,而不会对用户体验产生不利影响。
本文翻译自:https://threatpost.com/spotify-changes-passwords-data-breach/162256/