Spotify敦促用户在另一个数据泄露信息(例如出生日期)后更改密码。这至少是世界上最大的流媒体服务在不到一个月内的第三次违规。Spotify在一份关于该事件的声明中表示,数据泄露是由4月9日发现的软件漏洞引起的,最近才得到修复。官方声明称:“我们非常重视这起个人信息泄露事件,正在采取有效措施保护您和您的个人信息。我们已经进行了内部调查,并联系了所有可能接触到您账户信息的合作伙伴,并确保你的个人信息不会泄露给他们。”Spotify的目标宣布是在SpotifyWrapped2020揭示年度最受欢迎的流媒体之前几天。流媒体服务的一些最受欢迎的名人页面被一个名叫“丹尼尔”的恶意演员接管,他通过劫持表达了他对特朗普和泰勒的爱Spotify名人页面包括DuaLipa和PopSmokeSwift支持就在事发前一周,也就是11月底,Spotfiy用户进行了一次登录凭证重认证操作后,大量企业账户被接管。在这种类型的攻击中,网络攻击者利用人们重复使用密码的习惯,他们试图窃取用户在不同服务上的密码和ID,然后获得一系列账户的访问权限。Mentor研究人员发现了一个易受攻击的开放Elasticsearch数据库,其中包含更多超过380条Spotify用户记录,包括用户登录凭据。据该公司称:“暴露的数据库属于第三方平台使用它来存储Spotify登录凭据的表单,这些凭据很可能是非法获得的,或者可能是从其他平台泄露的。”违规后,Spotify激活了密码重置回滚功能,使原始数据变得无用。Spotify凭据现在泄露Spotify用户数据再次泄露。Spotify发言人在发给Threatpost的声明中写道:“一小部分Spotify用户可能受到软件错误的影响,该错误已经得到修复和改进。保护用户隐私和维护用户权益是Spotify的首要任务。”为解决此问题,我们对受影响的用户进行了密码重置。我们非常重视这些义务。”该公司敦促用户尽快更新链接到同一电子邮件帐户的密码。Spotify在声明中补充说:“同样,虽然我们没有发现任何未经授权使用您的个人信息,但作为预防措施,我们希望您可以保持警惕并密切关注您的帐户。如果您发现您的Spotify帐户有任何可疑行为,您可以及时通知我们。DigitalShadows的威胁研究员KaceyClark告诉Threatpost,被盗数据正是恶意行为者发起撞库攻击所需要的。“暴力工具和账户检查器是许多账户接管攻击的基础,”克拉克向Threatpost解释道。这允许攻击者获取更多数据。它们主要是应用于API或网站登录系统的自动脚本或程序,攻击者可以通过它们达到访问用户账户的目的”。攻击者一旦进入系统,很可能对系统造成严重的破坏。Clark补充道:“使用强力工具或帐户检查器的活动也可能利用IP地址、VPN服务、僵尸网络或代理来保持匿名或增加帐户访问的可能性,一旦它们进入系统,它们的帐户可用于其他恶意目的,或所有帐户内的数据(可能包括支付卡信息或个人身份信息)可能会被盗以获取经济利益。“她用DigitalShadows的调查结果证明了这一点,该调查发现针对流媒体服务的攻击占犯罪市场攻击总数的13%。流媒体服务是目标,媒体和流媒体服务被认为是撞库的主要目标Akamai最近发现Spotify等流媒体提供商面临撞库攻击的风险。该公司表示:“黑客高度重视知名在线流媒体服务的商业价值。”Akamai在其关于媒体行业的文章中安全在其最新的最新报告中,它发现在过去一年中观察到的880亿次撞库攻击中,有整整20%是针对媒体公司的。“只要我们拥有用户名和密码,就会有网络犯罪分子试图入侵系统并获取那些高价值的帐户信息。常用密码和回收机制是造成撞库攻击的两个最重要的因素。“虽然使用良好的密码保护措施可以让用户保护自己的数据隐私,但拉根强调,企业需要采取积极主动的防御措施,提高自身的安全性,保护消费者的权益。虽然可以让用户保持良好的凭据登录习惯对于避免这些攻击很重要,但组织应该部署更强大的身份验证方法,并使用技术、策略和专业知识来保护用户,而不会对用户体验产生不利影响。本文翻译自:https://threatpost.com/spotify-changes-密码数据泄露/162256/
