Datenleck: Spotify-Zugangsdaten in ungeschützter Datenbank entdeckt

Kriminelle haben eine Datenbank mit über 300.000 Spotify-Zugangsdaten ungeschützt im Internet betrieben.

Artikel veröffentlicht am ,
Das Logo von Spotify
Das Logo von Spotify (Bild: M. H./Pixabay)

In einer ungeschützten Elasticsearch-Datenbank hat ein Forscherteam die Zugangsdaten von über 300.000 Spotify-Nutzenden gefunden. Die Entdecker, Noam Rotem und Ran Locar von der VPN-Bewertungsseite VPNmentor.com, vermuten, dass die Zugangsdaten mit Credential-Stuffing-Angriffen ermittelt wurden. Spotify hat die Betroffenen auf den Vorfall hingewiesen und zu einer Änderung ihrer Zugangsdaten aufgefordert.

Stellenmarkt
  1. Leiter Anwendungsentwicklung (m/w/d)*
    über Dr. Richter Heidelberger GmbH & Co. KG, Rhein-Neckar-Kreis
  2. Azure Full-Stack Web Developer (m/w/d)
    Team Beverage Convenience GmbH, Rostock
Detailsuche

Die Datenbank stamme nicht von dem Musikstreamingdienst Spotify selbst, sondern vermutlich von Kriminellen, welche die rund 72 GByte umfassende Datenbank mit 380 Millionen Einträgen ungeschützt im Internet gelassen hätten, erklärt VPNmentor. In der Datenbank entdeckte das Forscherteam die über 300.000 verifizierten Spotify-Zugangsdaten sowie die Länder, in denen diese verwendet wurden. Spotify wird von rund 300 Millionen Personen aktiv genutzt.

VPNmentor vermutet, dass die Zugangsdaten über sogenannte Credential-Stuffing-Angriffe erlangt wurden. Hierbei werden Zugangsdaten, die beispielsweise über ein Datenleck oder einen Hack erlangt wurden, bei verschiedenen Anbietern ausprobiert. Da Internetnutzende dazu neigen, die gleichen Passwörter, meist mit der gleichen E-Mail-Adresse, bei verschiedenen Diensten zu nutzen, ist Credential Stuffing nach wie vor eine sehr erfolgreiche Angriffsmethode.

Social-Engineering-Angriffe denkbar

Kriminelle könnten mit den Zugangsdaten beispielsweise die bezahlten Spotify-Konten mitnutzen. Zudem könnten die Daten für Social Engineering verwendet werden. Betroffenen könnten beispielsweise gefälschte Rechnungen von Spotify gesendet werden oder sie könnten dazu gebracht werden, Schadsoftware zu installieren. Die ungeschützte Datenbank hätte zudem von Dritten entdeckt und missbraucht werden können, betont VPNmentor. Die Zugangsdaten könnten zudem bei anderen Diensten ausprobiert werden.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Entdeckt wurde die Datenbank bereits am 3. Juli 2020, an Spotify gemeldet wurde sie am 9. Juli. VPNmentor hat den Fund jedoch erst jetzt veröffentlicht. Betroffene, die eine Warnung von Spotify erhalten haben, sollten ihre Zugangsdaten umgehend ändern. Verwenden sie das gleiche Passwort auch bei anderen Diensten, sollte auch dort ein neues Passwort verwendet werden. Unabhängig davon ist es wichtig, für jeden Dienst ein individuelles, sicheres Passwort zu verwenden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Screenshots zeigen neue Oberfläche
Windows 11 geleakt

Durch einen Leak der ISO von Microsofts Betriebssystem Windows 11 sind Details der Benutzeroberfläche inklusive des Startmenüs bekannt geworden.

Screenshots zeigen neue Oberfläche: Windows 11 geleakt
Artikel
  1. Suchmaschinen: Huawei könnte bei Google-Konkurrent Qwant einsteigen
    Suchmaschinen
    Huawei könnte bei Google-Konkurrent Qwant einsteigen

    Die französische Suchmaschine Qwant macht weiterhin mehr Verluste als Umsatz. Das Geld von Huawei kann sie daher dringend gebrauchen.

  2. Mikromobilität: Im Rhein liegen Hunderte E-Scooter
    Mikromobilität
    Im Rhein liegen Hunderte E-Scooter

    Sie aus dem Wasser holen zu lassen ist zumindest einem Vermieter der E-Scooter zu teuer.

  3. Elon Musk: Tesla-Chef verkauft sein letztes Haus in Kalifornien
    Elon Musk
    Tesla-Chef verkauft sein letztes Haus in Kalifornien

    Seit Mitte 2020 trennt sich Elon Musk nach und nach von seinen Immobilien. Nun verkauft er sein letztes Anwesen - eine Villa in Kalifornien.

gamer998 25. Nov 2020

Bezahldaten werden nicht mehr gespeichert. Das läuft über tokens. Normalerweise wird nix...

RainerG 25. Nov 2020

Bei mir hat Spotify vor einigen Tagen eine Anmeldung aus Russland per E-Mail gemeldet...

Schnookerippsche 24. Nov 2020

Müssen talentlose wie Capital Bra in Zukunft auf Fake-Klickzahlen verzichten? https://www...

AlexanderSchork 24. Nov 2020

Das ist ein großes Problem bei Spotify und co. Und fast alle beteiligten verdienen daran...

mackes 24. Nov 2020

Wirklich kwt


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Crucial MX500 500GB 48,99€ • Amazon-Geräte günstiger • WD Black SN850 500GB PCIe 4.0 89€ • Apple iPhone 12 mini 64GB Rot 589€ • Far Cry 6 + Steelbook PS5 69,99€ • E3-Aktion: Xbox-Spiele bei MM günstiger • Amazon Music Ultd. 6 Mon. gratis bei Kauf eines Echo Dot (4. Gen.) [Werbung]
    •  /