Die Zugangsdaten von 350.000 Nutzern des Audio-Streamingdienstes Spotify sind ungeschützt im Internet aufgetaucht, wie vpnMentor berichtet.
Das vpnMentor-Research-Team hat unter der Leitung von Noam Rotem und Ran Locar am 3. Juli 2020 im Rahmen eines umfangreichen Web-Mapping-Projekts eine ungesicherte Elasticsearch-Datenbank entdeckt. Diese umfasste insgesamt 72 GB Daten und enthielt ca. 380 Millionen Datensätze. Darunter befanden sich auch Anmeldeinformationen für Spotify-Konten.
Aus einem Bericht von VPNmentor geht hervor, dass die von ihnen aufgefundene Datenbank höchstwahrscheinlich einem Drittanbieter gehörte, der sie zum Speichern aller Spotify-Anmeldeinformationen verwendete. „Diese Anmeldeinformationen hat man höchstwahrscheinlich illegal bezogen oder sind möglicherweise aus anderen Quellen durchgesickert, die für Angriffe zum Ausfüllen von Anmeldeinformationen gegen Spotify verwendet wurden“, so Rotem und Locar. Sowohl der Ursprung, als auch die Eigentümer der Datenbank sind unbekannt.
Spotify-Zugangsdaten als mögliche Ausgangsbasis für Credential Stuffing-Angriffe
Die Informationen lagen unverschlüsselt vor. Infolgedessen können Hacker diese Datensätze für Credential Stuffing-Angiffe verwenden. Cyberkriminelle nutzen hierfür Bots, um dann Websites mit Anmeldeversuchen unter Verwendung gestohlener Zugriffsdaten aus Datenverletzungen zu übernehmen. Der anhaltende Erfolg von Angriffen dieser Art ist größtenteils auf die von Benutzern schlecht gewählten Kennwörter zurückzuführen. Mitunter werden Zugangsdaten sogar mit anderen geteilt. Antwort über die fragwürdigen Entscheidungen, die Menschen in Bezug auf ihre Passwörter treffen, gibt die Liste der am häufigsten verwendeten Passwörtern von 2020, die mit einigen echten Juwelen, wie „123456“ und „123456789“ aufwartet. Bereits die Verwendung eines anderen Passworts für jeden Dienst, bietet infolge einige Sicherheit. Zudem sollte man auf nicht leicht zu merkende Begriffe setzen. Komplexe Buchstaben- und Zahlenkombinationen sind für einen optimalen Schutz des Weiteren unerlässlich. Für eine sichere Passwort-Verwaltung empfehlen die Sicherheitsexperten Passwortmanager.
Die Forscher konnten dabei die Richtigkeit der Daten durch Kontaktaufnahme mit Spotify am 9. Juli 2020 überprüfen. Das schwedische Unternehmen reagierte dann prompt. Bereits zwischen dem 10. und 21. Juli leitete der Musik-Streaming-Dienst infolge ein fortlaufendes Zurücksetzen der Kennwörter für die in der Datenbank identifizierten Benutzer ein. Weiterhin informierten sie die dazugehörigen User über die Attacke. Gemäß Schätzungen waren ungefähr 300.000 bis 350.000 Konten vom Leck betroffen. Die offengelegten Aufzeichnungen enthielten eine Vielzahl vertraulicher Informationen. Sowohl Benutzernamen und Passwörter von Personen, als auch E-Mail-Adressen und der Wohnsitz waren aufzufinden.
Tarnkappe.info