
Wyciek danych użytkowników Spotify
Zespół badaczy kierowany przez Noama Rotema i Ran Locara wykrył wyciek danych użytkowników Spotify. Baza danych zawierała 380 milionów rekordów, w tym dane logowania i dane osobiste użytkowników serwisu Spotify.
Jak potwierdza zespół badawczy z vpnMentor, wyciek nie pochodził bezpośrednio z serwisu Spotify. A najprawdopodobniej baza danych należała do grupy przestępczej, która korzystała z niej do przechowywania danych.
Na podstawie analizy zespół stwierdził, że udostępniona baza zawierała dane uwierzytelniające, które zostały pozyskane z różnych wycieków lub innych nielegalnych oszustw. Następnie przestępcy dopasowali je do użytkowników serwisu Spotify. Co dało im możliwość spersonalizowanego ataku.
Informacje z bazy danych
Baza danych użytkowników Spotify zawierała ponad 72 GB danych, a dokładnie 380 milionów rekordów i była hostowana na serwerze Elasticsearch. Badacze nie byli w stanie określić jej pochodzenia, ani też sposobu, w który przestępcy atakowali swoje ofiary.
Zgromadzone rekordy w bazie danych to:
- nazwy użytkowników i hasła do kont w serwisie Spotify
- adresy e-mail
- kraje zamieszkania
Potencjalne skutki ataku
Przestępcy mogli wykorzystać bazę danych do wielu oszustw. Dodatkowo fakt, że została udostępniona bez zabezpieczenia, mógł dać możliwość skorzystania z niej przez inne grupy hakerów, które po prostu znalazły tę bazę w internecie. W raporcie badaczy vpnMentor możemy przeczytać o kilku możliwych sposobach ataku.
Oszustwa finansowe i kradzież tożsamości
Oszuści mogą wykorzystać ujawnione e-maile i nazwiska z wycieku do identyfikacji użytkowników na innych platformach i kontach w mediach społecznościowych. Przede wszystkim daje to możliwość tworzenia złożonych profili potencjalnych przyszłych ofiar oszustw.
Wyłudzanie informacji
Oszust korzystający z dostępnych danych bez problemu jest w stanie wykonać atak phishingowy. Innymi słowy, podając się pod serwis Spotify i wysyłając wiadomości e-mail, bez problemu uzyska od wielu użytkowników dane np. karty debetowej.
Nadużycie konta
Oszuści mogą, korzystając z zebranych danych sprzedać dostęp do kont lub po prostu korzystać z nich.
Działanie Spotify
Wyciek danych użytkowników Spotify został potraktowany poważnie. Firma odpowiedziała badaczom z vpnMentor jeszcze tego samego dnia. Zainicjowała reset haseł wszystkich osób, których dotyczył ten incydent bezpieczeństwa. W rezultacie korzystanie z bazy danych stało się bezużyteczne.
Podsumowując pamiętajcie jak ważne jest, by używać różnych haseł do wielu serwisów. Z pewnością pomoże w tym Wam menedżer haseł, który znajduje się w przeglądarce.
Źródła:
vpnMentor