Spotify在又一次的數(shù)據(jù)泄露后督促用戶更改密碼

~陽光~
雖然使用良好的密碼保護(hù)措施可以很好地讓用戶保護(hù)自己的數(shù)據(jù)隱私,但Ragan強(qiáng)調(diào),企業(yè)更需要積極主動(dòng)的采取防御措施來提高自身的安全性,維護(hù)消費(fèi)者的權(quán)益。

Spotify提醒用戶,他們的部分注冊(cè)信息無意中暴露給了第三方的商業(yè)合作伙伴,其中包括電子郵件地址、首選顯示名稱、密碼、性別和出生日期等信息。這至少是這家全球最大的流媒體服務(wù)商在不到一個(gè)月的時(shí)間內(nèi)發(fā)生的第三起違規(guī)事件。

Spotify在關(guān)于此次事件的聲明中稱,此次數(shù)據(jù)泄露是由一個(gè)軟件漏洞引起的,該漏洞在4月9日被發(fā)現(xiàn),直到最近才被修復(fù)。

官方在發(fā)布的聲明中寫道:"我們非常重視本次個(gè)人信息泄露事故,并正在采取有效措施來保護(hù)您和您的個(gè)人信息安全,我們已經(jīng)進(jìn)行了企業(yè)內(nèi)部的調(diào)查,并聯(lián)系了所有可能接觸到您的賬戶信息的合作伙伴,確保不會(huì)把您的個(gè)人信息泄露給他們。"

Spotify的目標(biāo)

宣布這一消息的前幾天,也就是Spotify Wrapped 2020公布年度最受歡迎流媒體的期間,該流媒體服務(wù)商的一些最受歡迎的明星頁面被一個(gè)名為"Daniel"的惡意攻擊者接管,他通過劫持包括Dua Lipa和Pop Smoke在內(nèi)的Spotify名星頁面,來表達(dá)他對(duì)特朗普和泰勒斯威夫特的支持。

就在該事件發(fā)生的前一周,也就是11月底,Spotfiy的用戶在進(jìn)行了一次登錄憑證重新認(rèn)證操作后,企業(yè)的大批量的賬號(hào)被接管。在這種類型的攻擊中,網(wǎng)絡(luò)攻擊者利用了人們重復(fù)使用密碼的習(xí)慣;他們?cè)诓煌姆?wù)上嘗試竊取用戶的密碼和ID,然后獲得了一系列賬戶的訪問權(quán)限。

vpnMentor的研究人員發(fā)現(xiàn)了一個(gè)含有漏洞的開放的Elasticsearch數(shù)據(jù)庫,其中包含了超過380個(gè)Spotify用戶記錄,其中包括用戶登錄憑證。

據(jù)該公司說:"暴露的數(shù)據(jù)庫屬于一個(gè)第三方的平臺(tái),該平臺(tái)正在使用它來存儲(chǔ)Spotify的登錄憑證,這些憑證很可能是非法獲得的,或者可能是從其他平臺(tái)泄露的。"

在那次違規(guī)事件發(fā)生之后,Spotify啟動(dòng)了密碼重置回滾功能,使原有的數(shù)據(jù)失去了作用。

Spotify憑證泄露

現(xiàn)在Spotify的用戶數(shù)據(jù)又被泄露了。

Spotify發(fā)言人給Threatpost的聲明中寫道:"有一小部分Spotify用戶可能會(huì)受到軟件bug的影響,該漏洞目前已經(jīng)得到了修復(fù)和完善。保護(hù)用戶的隱私和維護(hù)用戶的權(quán)益是Spotify的首要任務(wù)。為了解決這個(gè)問題,我們對(duì)于受影響的用戶進(jìn)行了密碼重置。我們會(huì)非常認(rèn)真地履行這些義務(wù)。"

該公司敦促用戶盡快更新那些使用同一電子郵件賬戶綁定的密碼。

Spotify在聲明中補(bǔ)充道:"再次強(qiáng)調(diào),雖然我們并沒有發(fā)現(xiàn)任何未經(jīng)授權(quán)而使用您個(gè)人信息的情況,但為了保險(xiǎn)起見,我們希望您能夠保持警惕,密切觀察您的賬戶,如果你發(fā)現(xiàn)你的Spotify賬戶有任何可疑的行為,你可以及時(shí)通知我們。"

Digital Shadows的威脅研究員Kacey Clark告訴Threatpost,被竊取的數(shù)據(jù)正是惡意攻擊者發(fā)起憑證填充攻擊所必需的。

Clark向Threatpost解釋道:"暴力破解工具和賬戶檢查器是許多賬戶接管攻擊的基礎(chǔ),這樣可以使攻擊者獲得更多的數(shù)據(jù)。它們主要是應(yīng)用于API或者是網(wǎng)站登錄系統(tǒng)的自動(dòng)腳本或者程序,通過這些工具攻擊者可以達(dá)到訪問用戶賬戶的目的"。

攻擊者一旦進(jìn)入系統(tǒng)內(nèi),就很可能會(huì)對(duì)系統(tǒng)造成嚴(yán)重的破壞。

Clark補(bǔ)充道:"使用暴力破解工具或賬戶檢查器的攻擊活動(dòng)也可能會(huì)利用IP地址,VPN服務(wù),僵尸網(wǎng)絡(luò)或代理來保持匿名性或提高賬戶訪問的可能性,一旦他們進(jìn)入了系統(tǒng),他們就可以將賬戶用于其他的惡意目的,或者竊取賬號(hào)內(nèi)的所有數(shù)據(jù)(可能包括支付卡信息或個(gè)人身份信息)來獲取經(jīng)濟(jì)利益。"

她用Digital Shadows的研究結(jié)果證明了這一點(diǎn),研究結(jié)果發(fā)現(xiàn)對(duì)于流媒體服務(wù)的攻擊占犯罪市場(chǎng)上攻擊總數(shù)的13%。

流媒體服務(wù)成為被攻擊的目標(biāo)

眾所周知,媒體和流媒體服務(wù)是憑證填充攻擊的主要目標(biāo)。Akamai最近發(fā)現(xiàn),Spotify等流媒體提供商存在著憑證填充攻擊的風(fēng)險(xiǎn)。

該公司稱:"黑客非??粗啬切└咧鹊脑诰€流媒體服務(wù)的商業(yè)價(jià)值"。Akamai在關(guān)于媒體行業(yè)安全狀況的最新報(bào)告中,它發(fā)現(xiàn)在過去的一年中觀察到的880億次憑證填充攻擊中,有整整20%是針對(duì)媒體公司的。

Akamai研究員Steve Ragan解釋道:"只要我們有用戶名和密碼,就會(huì)有網(wǎng)絡(luò)犯罪分子試圖入侵系統(tǒng)然后獲取那些高價(jià)值的賬號(hào)信息,公用的密碼和回收機(jī)制是造成憑證填充攻擊的兩個(gè)最重要的因素。"

雖然使用良好的密碼保護(hù)措施可以很好地讓用戶保護(hù)自己的數(shù)據(jù)隱私,但Ragan強(qiáng)調(diào),企業(yè)更需要積極主動(dòng)的采取防御措施來提高自身的安全性,維護(hù)消費(fèi)者的權(quán)益。

雖然讓用戶保持良好的憑證登錄習(xí)慣對(duì)于避免這些攻擊來說非常重要,但企業(yè)更應(yīng)該部署更強(qiáng)大的認(rèn)證方式,并使用技術(shù)、政策和專業(yè)知識(shí)來保護(hù)用戶,同時(shí)不對(duì)用戶的體驗(yàn)產(chǎn)生不利的影響。

本文翻譯自:https://threatpost.com/spotify-changes-passwords-data-breach/162256/

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無評(píng)論