Ponad 100 000 klientów serwisu streamingowego może być narażonych na przejęcie konta. Zaledwie trzy miesiące po ostatnim ataku uzytkownicy Spotify znaleźli się na celowniku kolejnego cyberataku polegającego na wyłudzaniu danych uwierzytelniających. Serwis wymusił reset haseł dla dotkniętych nim użytkowników.
Cyberprzestępcy dokonujący ataku typu credential-stuffing wykorzystują konta osób, które używają tych samych zestawów login/hasło do innych kont internetowych. W jaki sposób? Atakujący po prostu budują zautomatyzowane skrypty, które systematycznie wypróbowują skradzione identyfikatory i hasła (pozyskane z włamania do innej firmy lub witryny albo zakupione online) do różnych typów kont.
Cyberprzestępcy z powodzeniem wykorzystali to podejście do kradzieży danych klientów różnych popularnych firm, w tym tak znanych jak The North Face czy Dunkin Donuts (który również został zaatakowany dwukrotnie w ciągu trzech miesięcy). W zeszłym roku w wyniku ataku typu credential-stuffing zostało zhakowane oficjalne konto FC Barcelony na Twitterze.
Badacz Bob Diachenko poinformował w czwartek na Twitterze o nowym ataku na Spotify: „Odkryłem złośliwą bazę danych loggerów #Spotify, z 100K+ danymi kont (wyciekły gdzie indziej w sieci), które są wykorzystywane jako element ataku credential stuffing”.
Diachenko zamieścił również oświadczenie Spotify w sprawie incydentu, które potwierdziło atak.
„Niedawno chroniliśmy niektórych naszych użytkowników przed atakiem [typu credential-stuffing]” – czytamy w zawiadomieniu. „Gdy tylko dowiedzieliśmy się o sytuacji, wysłaliśmy wszystkim dotkniętym atakiem użytkownikom informację o zresetowaniu haseł”.
Firma zauważyła również, że ataki zostały przeprowadzone przy użyciu nielegalnie zdobytego zestawu danych: „Pracowaliśmy nad tym, aby skradziona baza danych została usunięta przez hostującego ją dostawcę usług internetowych”.
Błąd w konfiguracji chmury? Zdarza się również hakerom…
W pierwszym incydencie z danymi uzytkowinków Spotify w listopadzie badacze znaleźli błędnie skonfigurowaną i otwartą bazę danych w chmurze Elasticsearch zawierającą ponad 380 milionów indywidualnych rekordów, w tym dane uwierzytelniające do logowania i kraje zamieszkania różnych osób, z których wszystkie zostały zweryfikowane w odniesieniu do kont Spotify. Baza danych należała do nieokreślonej na ten moment grupy cyberprzestępców.
Ten drugi atak jest bardzo podobny, z danymi również wyeksponowanymi w publicznej instancji Elasticsearch.
„Istnieją podobieństwa, ale ten wygląda inaczej, jakby pochodził od konkurencyjnej grupy” – zatweetował Diachenko. „Pierwotnie dane te zostały ujawnione wewnątrz błędnie skonfigurowanego (a więc publicznie dostępnego) klastra Elasticsearch – najprawdopodobniej obsługiwanego przez hakerów” – powiedział. ” Zawierały one całe logi ich działań oraz pary maili/haseł, których używali [do ataku]”.
Dane również zostały prawdopodobnie pozyskane z wcześniejszych naruszeń.
„Przypuszczam, że pary loginów pochodziły z wcześniej zgłoszonych naruszeń lub zbiorów danych, więc po prostu użyto ich ponownie przeciwko kontom użytkowników Spotify” – powiedział Diachenko.
Jakie są zagrożenia związane z Credential-Stuffing?
Na pierwszy rzut oka, cyberprzestępca będący w stanie zalogować się na czyjeś konto Spotify może wydawać się bardziej uciążliwy niż cokolwiek innego. Ustawianie nieuczciwych list odtwarzania, usuwanie zapisanych utworów lub po prostu przejmowanie możliwości słuchania muzyki to tylko niektóre z potencjalnych problemów. Diachenko zauważa jednak, że takie ataki niosą inny rodzaj zagrożeń – dosyć krytyczne dla tych, którzy używają tych samych haseł i loginów lub emaili. Zestawy hasło/login mogą być po prostu wykorzystane do infiltracji innych, bardziej wartościowych kont.
„Technicznie rzecz biorąc, nie jest to aż tak niebezpieczne, jeśli ktoś włamie się na Twoje konto Spotify (poza częścią moralną oczywiście)” – powiedział. „Jednak najgorszym scenariuszem jest to, że twoje dane byłyby lub mogą być przedmiotem handlu w podziemiu lub nawet publicznie (wiem, że jest wielu odsprzedawców eBay, którzy to robią)”.
Skompromitowane konta mogą zawierać informacje o kartach kredytowych, punktach lojalnościowych, które mogą zostać skradzione lub wykorzystane. Konta mogą również zawierać informacje takie jak daty urodzin, preferencje (na przykład listy odtwarzania Spotify) i inne dane, które są gotowe do wykorzystania w celu opracowania sztuczek socjotechnicznych do ataków phishingowych.
Czytaj podobne
Grupa hakerów (prawdopodobnie) z Białorusi włamała się na serwery rosyjskiego Roskomnadzoru
Największe na świecie naruszenia danych i ataki hakerskie
Chińscy hakerzy wykorzystują Dysk Google do umieszczania złośliwego oprogramowania w sieciach rządowych