Link-2-Secure

Cybersecurity and data breach news

Zmiana haseł w Spotify po kolejnym wycieku danych

Jest to trzecie naruszenie w ciągu ostatnich kilku tygodni dla najpopularniejszego serwisu streamingowego na świecie.

Spotify poinformował użytkowników, że niektóre z ich danych rejestracyjnych zostały nieumyślnie narażone na kontakt z zewnętrznym partnerem biznesowym, w tym adresy e-mail, preferowane nazwy wyświetlaczy, hasła, płeć i daty urodzenia.

W oświadczeniu Spotify na temat tego incydentu stwierdzono, że ekspozycja ta była spowodowana luką w oprogramowaniu, która istniała od 9 kwietnia do 12 listopada, kiedy to została naprawiona.

„Traktujemy każdą utratę danych osobowych bardzo poważnie i podejmujemy kroki w celu ochrony Ciebie i Twoich danych osobowych”, można przeczytać w komunikacie wydanym 9 grudnia 2020. „Przeprowadziliśmy wewnętrzne dochodzenie i skontaktowaliśmy się ze wszystkimi naszymi partnerami biznesowymi, którzy mogli mieć dostęp do informacji o Twoim koncie, aby upewnić się, że wszelkie dane osobowe, które mogły zostać im nieumyślnie ujawnione, zostały usunięte”.

Oświadczenie pojawiło się zaledwie kilka dni po tym, jak niektóre z najpopularniejszych stron serwisu streamingowego zostały przejęte przez hakera o pseudonimie „Daniel”, który wykorzystał zhakowane strony Spotify artystów, w tym Dua Lipa i Pop Smoke, aby ogłosić swoje poparcie dla Trumpa i Taylora Swifta. Incydent ten miał miejsce podczas ogłoszenia najpopularniejszych nurtów roku – Spotify Wrapped 2020, .

W tego typu atakach hakerzy starają się wykorzystać pozyskane dane (np. hasła, loginy, adresy email) w celu uzyskania dostępu do innychy serwisów lub usług użytkowników.

Analitycy z vpnMentor znaleźli otwartą i podatną na ataki bazę danych Elasticsearch z ponad 380 rekordami użytkowników Spotify, w tym danymi uwierzytelniającymi do logowania.

” Wyeksponowana baza danych należała do osoby trzeciej, która używała jej do przechowywania danych uwierzytelniających do logowania Spotify”, oświadczyła firma. „Te dane uwierzytelniające zostały najprawdopodobniej uzyskane nielegalnie lub potencjalnie wyciekły z innych źródeł”.

W momencie tego naruszenia, Spotify rozpoczął resetowanie ustawień kont, pozostawiając bazę danych bezużyteczną.

Dane użytkowników Spotify zostały ponownie ujawnione.

„Bardzo mała grupa użytkowników Spotify została dotknięta błędem w oprogramowaniu, który został naprawiony i usunięty.” Odczytano oświadczenie rzecznika Spotify’a „Ochrona prywatności naszych użytkowników i utrzymanie ich zaufania są w Spotify priorytetami. Aby rozwiązać ten problem, zresetowalismy tym użytkownikom hasła. Traktujemy te zobowiązania bardzo poważnie.”

Firma wzywa użytkowników do aktualizacji haseł do innych kont powiązanych z tym samym kontem e-mail.

„Ponownie, choć nie jesteśmy świadomi nieuprawnionego wykorzystania danych osobowych użytkownika, zachęcamy do zachowania czujności poprzez dokładne monitorowanie konta” – dodał Spotify. „W przypadku wykrycia jakiejkolwiek podejrzanej aktywności na koncie Spotify użytkownik powinien niezwłocznie powiadomić nas o tym fakcie”.