image

Honderdduizenden gestolen Spotify-wachtwoorden in onbeveiligde database

dinsdag 24 november 2020, 10:42 door Redactie, 7 reacties

Onderzoekers hebben in een onbeveiligde database die voor iedereen op internet toegankelijk was honderdduizenden gestolen Spotify-wachtwoorden ontdekt. De inloggegevens waren bij andere websites buitgemaakt en vervolgens gebruikt om op Spotify-accounts in te loggen van gebruikers die hun wachtwoorden hergebruiken.

De in totaal 72 gigabyte grote Elasticsearch-database bevatte meer dan 380 miljoen records, waaronder e-mailadressen, gebruikersnamen en wachtwoorden en de locatie van de gebruikers. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. Het wordt onder andere ingezet voor het doorzoeken van websites, documenten en applicaties, maar is ook te gebruiken voor analytics, monitoring en data-analyse.

In dit geval was de database van een fraudeur die door middel van een credential stuffing-aanval had geverifieerd of de gestolen wachtwoorden ook bij Spotify werkte. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen.

Volgens onderzoekers van vpnMentor, die de database ontdekten, ging het om de inloggegevens van 300.000 tot 350.000 Spotify-gebruikers. De onderzoekers waarschuwden de online muziekdienst, waarna Spotify besloot om de wachtwoorden van alle getroffen gebruikers te resetten.

Reacties (7)
24-11-2020, 10:48 door Anoniem
en nu bij haveIbeenp0wned opgenomen?
24-11-2020, 11:50 door MM
ja, vorige week al geloof ik.
24-11-2020, 12:13 door Anoniem
Wanneer dan?.Ik gebruik al jaren Spotify,nooit is mij gevraagd om mijn wachtwoord daar te veranderen.
24-11-2020, 12:31 door jh81
is toch alweer een poosje geleden dat we Elastic hoorde bij een gelekte database :)
24-11-2020, 16:10 door Anoniem
Het is nou niet bepaald een onafhankelijke bron, het is een VPN verkoper nota bene!
24-11-2020, 17:16 door Anoniem
Door Anoniem: Wanneer dan?.Ik gebruik al jaren Spotify,nooit is mij gevraagd om mijn wachtwoord daar te veranderen.
Zoals ik het lees gaat het alleen om accounts met wachtwoorden van andere website die 'hergebruikt' worden bij Spotiy of andersom. Als je overal een uniek wachtwoord gebruikt, zou je dus niet in deze database voor moeten komen en dus ook niet de vraag krijgen om je wachtwoord te veranderen.
24-11-2020, 21:37 door Anoniem
Oef, gelukkig heb ik Spotify niet nodig, ik heb zelf muziek.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.