Jest to trzecie naruszenie w ciągu ostatnich kilku tygodni dla najpopularniejszego serwisu streamingowego na świecie.
Spotify poinformował użytkowników, że niektóre z ich danych rejestracyjnych zostały nieumyślnie narażone na kontakt z zewnętrznym partnerem biznesowym, w tym adresy e-mail, preferowane nazwy wyświetlaczy, hasła, płeć i daty urodzenia.
W oświadczeniu Spotify na temat tego incydentu stwierdzono, że ekspozycja ta była spowodowana luką w oprogramowaniu, która istniała od 9 kwietnia do 12 listopada, kiedy to została naprawiona.
„Traktujemy każdą utratę danych osobowych bardzo poważnie i podejmujemy kroki w celu ochrony Ciebie i Twoich danych osobowych”, można przeczytać w komunikacie wydanym 9 grudnia 2020. „Przeprowadziliśmy wewnętrzne dochodzenie i skontaktowaliśmy się ze wszystkimi naszymi partnerami biznesowymi, którzy mogli mieć dostęp do informacji o Twoim koncie, aby upewnić się, że wszelkie dane osobowe, które mogły zostać im nieumyślnie ujawnione, zostały usunięte”.
Oświadczenie pojawiło się zaledwie kilka dni po tym, jak niektóre z najpopularniejszych stron serwisu streamingowego zostały przejęte przez hakera o pseudonimie „Daniel”, który wykorzystał zhakowane strony Spotify artystów, w tym Dua Lipa i Pop Smoke, aby ogłosić swoje poparcie dla Trumpa i Taylora Swifta. Incydent ten miał miejsce podczas ogłoszenia najpopularniejszych nurtów roku – Spotify Wrapped 2020, .
W tego typu atakach hakerzy starają się wykorzystać pozyskane dane (np. hasła, loginy, adresy email) w celu uzyskania dostępu do innychy serwisów lub usług użytkowników.
Analitycy z vpnMentor znaleźli otwartą i podatną na ataki bazę danych Elasticsearch z ponad 380 rekordami użytkowników Spotify, w tym danymi uwierzytelniającymi do logowania.
” Wyeksponowana baza danych należała do osoby trzeciej, która używała jej do przechowywania danych uwierzytelniających do logowania Spotify”, oświadczyła firma. „Te dane uwierzytelniające zostały najprawdopodobniej uzyskane nielegalnie lub potencjalnie wyciekły z innych źródeł”.
W momencie tego naruszenia, Spotify rozpoczął resetowanie ustawień kont, pozostawiając bazę danych bezużyteczną.
Dane użytkowników Spotify zostały ponownie ujawnione.
„Bardzo mała grupa użytkowników Spotify została dotknięta błędem w oprogramowaniu, który został naprawiony i usunięty.” Odczytano oświadczenie rzecznika Spotify’a „Ochrona prywatności naszych użytkowników i utrzymanie ich zaufania są w Spotify priorytetami. Aby rozwiązać ten problem, zresetowalismy tym użytkownikom hasła. Traktujemy te zobowiązania bardzo poważnie.”
Firma wzywa użytkowników do aktualizacji haseł do innych kont powiązanych z tym samym kontem e-mail.
„Ponownie, choć nie jesteśmy świadomi nieuprawnionego wykorzystania danych osobowych użytkownika, zachęcamy do zachowania czujności poprzez dokładne monitorowanie konta” – dodał Spotify. „W przypadku wykrycia jakiejkolwiek podejrzanej aktywności na koncie Spotify użytkownik powinien niezwłocznie powiadomić nas o tym fakcie”.
Czytaj podobne
Grupa hakerów (prawdopodobnie) z Białorusi włamała się na serwery rosyjskiego Roskomnadzoru
Największe na świecie naruszenia danych i ataki hakerskie
Chińscy hakerzy wykorzystują Dysk Google do umieszczania złośliwego oprogramowania w sieciach rządowych