Spotify在又一次的數(shù)據(jù)泄露后督促用戶更改密碼
Spotify提醒用戶,他們的部分注冊信息無意中暴露給了第三方的商業(yè)合作伙伴,其中包括電子郵件地址、首選顯示名稱、密碼、性別和出生日期等信息。這至少是這家全球最大的流媒體服務(wù)商在不到一個月的時間內(nèi)發(fā)生的第三起違規(guī)事件。
Spotify在關(guān)于此次事件的聲明中稱,此次數(shù)據(jù)泄露是由一個軟件漏洞引起的,該漏洞在4月9日被發(fā)現(xiàn),直到最近才被修復。
官方在發(fā)布的聲明中寫道:"我們非常重視本次個人信息泄露事故,并正在采取有效措施來保護您和您的個人信息安全,我們已經(jīng)進行了企業(yè)內(nèi)部的調(diào)查,并聯(lián)系了所有可能接觸到您的賬戶信息的合作伙伴,確保不會把您的個人信息泄露給他們。"
Spotify的目標
宣布這一消息的前幾天,也就是Spotify Wrapped 2020公布年度最受歡迎流媒體的期間,該流媒體服務(wù)商的一些最受歡迎的明星頁面被一個名為 "Daniel "的惡意攻擊者接管,他通過劫持包括Dua Lipa和Pop Smoke在內(nèi)的Spotify名星頁面,來表達他對特朗普和泰勒斯威夫特的支持。
就在該事件發(fā)生的前一周,也就是11月底,Spotfiy的用戶在進行了一次登錄憑證重新認證操作后,企業(yè)的大批量的賬號被接管。在這種類型的攻擊中,網(wǎng)絡(luò)攻擊者利用了人們重復使用密碼的習慣;他們在不同的服務(wù)上嘗試竊取用戶的密碼和ID,然后獲得了一系列賬戶的訪問權(quán)限。
Mentor的研究人員發(fā)現(xiàn)了一個含有漏洞的開放的Elasticsearch數(shù)據(jù)庫,其中包含了超過380個Spotify用戶記錄,其中包括用戶登錄憑證。
據(jù)該公司說:"暴露的數(shù)據(jù)庫屬于一個第三方的平臺,該平臺正在使用它來存儲Spotify的登錄憑證,這些憑證很可能是非法獲得的,或者可能是從其他平臺泄露的。"
在那次違規(guī)事件發(fā)生之后,Spotify啟動了密碼重置回滾功能,使原有的數(shù)據(jù)失去了作用。
Spotify憑證泄露
現(xiàn)在Spotify的用戶數(shù)據(jù)又被泄露了。
Spotify發(fā)言人給Threatpost的聲明中寫道:"有一小部分Spotify用戶可能會受到軟件bug的影響,該漏洞目前已經(jīng)得到了修復和完善。保護用戶的隱私和維護用戶的權(quán)益是Spotify的首要任務(wù)。為了解決這個問題,我們對于受影響的用戶進行了密碼重置。我們會非常認真地履行這些義務(wù)。"
該公司敦促用戶盡快更新那些使用同一電子郵件賬戶綁定的密碼。
Spotify在聲明中補充道:"再次強調(diào),雖然我們并沒有發(fā)現(xiàn)任何未經(jīng)授權(quán)而使用您個人信息的情況,但為了保險起見,我們希望您能夠保持警惕,密切觀察您的賬戶,如果你發(fā)現(xiàn)你的Spotify賬戶有任何可疑的行為,你可以及時通知我們。"
Digital Shadows的威脅研究員Kacey Clark告訴Threatpost,被竊取的數(shù)據(jù)正是惡意攻擊者發(fā)起憑證填充攻擊所必需的。
Clark向Threatpost解釋道:"暴力破解工具和賬戶檢查器是許多賬戶接管攻擊的基礎(chǔ),這樣可以使攻擊者獲得更多的數(shù)據(jù)。它們主要是應(yīng)用于API或者是網(wǎng)站登錄系統(tǒng)的自動腳本或者程序,通過這些工具攻擊者可以達到訪問用戶賬戶的目的"。
攻擊者一旦進入系統(tǒng)內(nèi),就很可能會對系統(tǒng)造成嚴重的破壞。
Clark補充道:"使用暴力破解工具或賬戶檢查器的攻擊活動也可能會利用IP地址,虛擬專用網(wǎng)服務(wù),僵尸網(wǎng)絡(luò)或代理來保持匿名性或提高賬戶訪問的可能性,一旦他們進入了系統(tǒng),他們就可以將賬戶用于其他的惡意目的,或者竊取賬號內(nèi)的所有數(shù)據(jù)(可能包括支付卡信息或個人身份信息)來獲取經(jīng)濟利益。"
她用Digital Shadows的研究結(jié)果證明了這一點,研究結(jié)果發(fā)現(xiàn)對于流媒體服務(wù)的攻擊占犯罪市場上攻擊總數(shù)的13%。
流媒體服務(wù)成為被攻擊的目標
眾所周知,媒體和流媒體服務(wù)是憑證填充攻擊的主要目標。Akamai最近發(fā)現(xiàn),Spotify等流媒體提供商存在著憑證填充攻擊的風險。
該公司稱:"黑客非常看重那些高知名度的在線流媒體服務(wù)的商業(yè)價值"。Akamai在關(guān)于媒體行業(yè)安全狀況的最新報告中,它發(fā)現(xiàn)在過去的一年中觀察到的880億次憑證填充攻擊中,有整整20%是針對媒體公司的。
Akamai研究員Steve Ragan解釋道:"只要我們有用戶名和密碼,就會有網(wǎng)絡(luò)犯罪分子試圖入侵系統(tǒng)然后獲取那些高價值的賬號信息,公用的密碼和回收機制是造成憑證填充攻擊的兩個最重要的因素。"
雖然使用良好的密碼保護措施可以很好地讓用戶保護自己的數(shù)據(jù)隱私,但Ragan強調(diào),企業(yè)更需要積極主動的采取防御措施來提高自身的安全性,維護消費者的權(quán)益。
雖然讓用戶保持良好的憑證登錄習慣對于避免這些攻擊來說非常重要,但企業(yè)更應(yīng)該部署更強大的認證方式,并使用技術(shù)、政策和專業(yè)知識來保護用戶,同時不對用戶的體驗產(chǎn)生不利的影響。
本文翻譯自:https://threatpost.com/spotify-changes-passwords-data-breach/162256/
