Spotify提醒用户,他们的部分注册信息无意中暴露给了第三方的商业合作伙伴,其中包括电子邮件地址、首选显示名称、密码、性别和出生日期等信息。这至少是这家全球最大的流媒体服务商在不到一个月的时间内发生的第三起违规事件。
Spotify在关于此次事件的声明中称,此次数据泄露是由一个软件漏洞引起的,该漏洞在4月9日被发现,直到最近才被修复。
官方在发布的声明中写道:"我们非常重视本次个人信息泄露事故,并正在采取有效措施来保护您和您的个人信息安全,我们已经进行了企业内部的调查,并联系了所有可能接触到您的账户信息的合作伙伴,确保不会把您的个人信息泄露给他们。"
Spotify的目标
宣布这一消息的前几天,也就是Spotify Wrapped 2020公布年度最受欢迎流媒体的期间,该流媒体服务商的一些最受欢迎的明星页面被一个名为 "Daniel "的恶意攻击者接管,他通过劫持包括Dua Lipa和Pop Smoke在内的Spotify名星页面,来表达他对特朗普和泰勒斯威夫特的支持。
就在该事件发生的前一周,也就是11月底,Spotfiy的用户在进行了一次登录凭证重新认证操作后,企业的大批量的账号被接管。在这种类型的攻击中,网络攻击者利用了人们重复使用密码的习惯;他们在不同的服务上尝试窃取用户的密码和ID,然后获得了一系列账户的访问权限。
Mentor的研究人员发现了一个含有漏洞的开放的Elasticsearch数据库,其中包含了超过380个Spotify用户记录,其中包括用户登录凭证。
据该公司说:"暴露的数据库属于一个第三方的平台,该平台正在使用它来存储Spotify的登录凭证,这些凭证很可能是非法获得的,或者可能是从其他平台泄露的。"
在那次违规事件发生之后,Spotify启动了密码重置回滚功能,使原有的数据失去了作用。
Spotify凭证泄露
现在Spotify的用户数据又被泄露了。
Spotify发言人给Threatpost的声明中写道:"有一小部分Spotify用户可能会受到软件bug的影响,该漏洞目前已经得到了修复和完善。保护用户的隐私和维护用户的权益是Spotify的首要任务。为了解决这个问题,我们对于受影响的用户进行了密码重置。我们会非常认真地履行这些义务。"
该公司敦促用户尽快更新那些使用同一电子邮件账户绑定的密码。
Spotify在声明中补充道:"再次强调,虽然我们并没有发现任何未经授权而使用您个人信息的情况,但为了保险起见,我们希望您能够保持警惕,密切观察您的账户,如果你发现你的Spotify账户有任何可疑的行为,你可以及时通知我们。"
Digital Shadows的威胁研究员Kacey Clark告诉Threatpost,被窃取的数据正是恶意攻击者发起凭证填充攻击所必需的。
Clark向Threatpost解释道:"暴力破解工具和账户检查器是许多账户接管攻击的基础,这样可以使攻击者获得更多的数据。它们主要是应用于API或者是网站登录系统的自动脚本或者程序,通过这些工具攻击者可以达到访问用户账户的目的"。
攻击者一旦进入系统内,就很可能会对系统造成严重的破坏。
Clark补充道:"使用暴力破解工具或账户检查器的攻击活动也可能会利用IP地址,虚拟专用网服务,僵尸网络或代理来保持匿名性或提高账户访问的可能性,一旦他们进入了系统,他们就可以将账户用于其他的恶意目的,或者窃取账号内的所有数据(可能包括支付卡信息或个人身份信息)来获取经济利益。"
她用Digital Shadows的研究结果证明了这一点,研究结果发现对于流媒体服务的攻击占犯罪市场上攻击总数的13%。
流媒体服务成为被攻击的目标
众所周知,媒体和流媒体服务是凭证填充攻击的主要目标。Akamai最近发现,Spotify等流媒体提供商存在着凭证填充攻击的风险。
该公司称:"黑客非常看重那些高知名度的在线流媒体服务的商业价值"。Akamai在关于媒体行业安全状况的最新报告中,它发现在过去的一年中观察到的880亿次凭证填充攻击中,有整整20%是针对媒体公司的。
Akamai研究员Steve Ragan解释道:"只要我们有用户名和密码,就会有网络犯罪分子试图入侵系统然后获取那些高价值的账号信息,公用的密码和回收机制是造成凭证填充攻击的两个最重要的因素。"
虽然使用良好的密码保护措施可以很好地让用户保护自己的数据隐私,但Ragan强调,企业更需要积极主动的采取防御措施来提高自身的安全性,维护消费者的权益。
虽然让用户保持良好的凭证登录习惯对于避免这些攻击来说非常重要,但企业更应该部署更强大的认证方式,并使用技术、政策和专业知识来保护用户,同时不对用户的体验产生不利的影响。
本文翻译自:https://threatpost.com/spotify-changes-passwords-data-breach/162256/