• IT-Karriere:
  • Services:

Datenleck: Spotify-Zugangsdaten in ungeschützter Datenbank entdeckt

Kriminelle haben eine Datenbank mit über 300.000 Spotify-Zugangsdaten ungeschützt im Internet betrieben.

Artikel veröffentlicht am ,
Das Logo von Spotify
Das Logo von Spotify (Bild: M. H./Pixabay)

In einer ungeschützten Elasticsearch-Datenbank hat ein Forscherteam die Zugangsdaten von über 300.000 Spotify-Nutzenden gefunden. Die Entdecker, Noam Rotem und Ran Locar von der VPN-Bewertungsseite VPNmentor.com, vermuten, dass die Zugangsdaten mit Credential-Stuffing-Angriffen ermittelt wurden. Spotify hat die Betroffenen auf den Vorfall hingewiesen und zu einer Änderung ihrer Zugangsdaten aufgefordert.

Stellenmarkt
  1. Heinzmann GmbH & Co. KG, Schönau
  2. Haufe Group, Freiburg im Breisgau

Die Datenbank stamme nicht von dem Musikstreamingdienst Spotify selbst, sondern vermutlich von Kriminellen, welche die rund 72 GByte umfassende Datenbank mit 380 Millionen Einträgen ungeschützt im Internet gelassen hätten, erklärt VPNmentor. In der Datenbank entdeckte das Forscherteam die über 300.000 verifizierten Spotify-Zugangsdaten sowie die Länder, in denen diese verwendet wurden. Spotify wird von rund 300 Millionen Personen aktiv genutzt.

VPNmentor vermutet, dass die Zugangsdaten über sogenannte Credential-Stuffing-Angriffe erlangt wurden. Hierbei werden Zugangsdaten, die beispielsweise über ein Datenleck oder einen Hack erlangt wurden, bei verschiedenen Anbietern ausprobiert. Da Internetnutzende dazu neigen, die gleichen Passwörter, meist mit der gleichen E-Mail-Adresse, bei verschiedenen Diensten zu nutzen, ist Credential Stuffing nach wie vor eine sehr erfolgreiche Angriffsmethode.

Social-Engineering-Angriffe denkbar

Kriminelle könnten mit den Zugangsdaten beispielsweise die bezahlten Spotify-Konten mitnutzen. Zudem könnten die Daten für Social Engineering verwendet werden. Betroffenen könnten beispielsweise gefälschte Rechnungen von Spotify gesendet werden oder sie könnten dazu gebracht werden, Schadsoftware zu installieren. Die ungeschützte Datenbank hätte zudem von Dritten entdeckt und missbraucht werden können, betont VPNmentor. Die Zugangsdaten könnten zudem bei anderen Diensten ausprobiert werden.

Entdeckt wurde die Datenbank bereits am 3. Juli 2020, an Spotify gemeldet wurde sie am 9. Juli. VPNmentor hat den Fund jedoch erst jetzt veröffentlicht. Betroffene, die eine Warnung von Spotify erhalten haben, sollten ihre Zugangsdaten umgehend ändern. Verwenden sie das gleiche Passwort auch bei anderen Diensten, sollte auch dort ein neues Passwort verwendet werden. Unabhängig davon ist es wichtig, für jeden Dienst ein individuelles, sicheres Passwort zu verwenden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Star Wars: Knights of the Old Republic II - The Sith Lords für 1,99€, Star Wars Empire at...
  2. (u. a. Monster Hunter World: Iceborne Digital Deluxe für 29,99€, Phoenix Wright: Ace Attorney...
  3. 51,90€ (Release 12. Februar)

gamer998 25. Nov 2020 / Themenstart

Bezahldaten werden nicht mehr gespeichert. Das läuft über tokens. Normalerweise wird nix...

RainerG 25. Nov 2020 / Themenstart

Bei mir hat Spotify vor einigen Tagen eine Anmeldung aus Russland per E-Mail gemeldet...

Schnookerippsche 24. Nov 2020 / Themenstart

Müssen talentlose wie Capital Bra in Zukunft auf Fake-Klickzahlen verzichten? https://www...

AlexanderSchork 24. Nov 2020 / Themenstart

Das ist ein großes Problem bei Spotify und co. Und fast alle beteiligten verdienen daran...

Kommentieren


Folgen Sie uns
       


Librem Mini - Fazit

Der Librem Mini punktet mit guter Linux-Unterstützung, freier Firmware und einem abgesicherten Bootprozess.

Librem Mini - Fazit Video aufrufen
    •  /