Datenleck: Spotify-Zugangsdaten in ungeschützter Datenbank entdeckt

Kriminelle haben eine Datenbank mit über 300.000 Spotify-Zugangsdaten ungeschützt im Internet betrieben.

Artikel veröffentlicht am ,
Das Logo von Spotify
Das Logo von Spotify (Bild: M. H./Pixabay)

In einer ungeschützten Elasticsearch-Datenbank hat ein Forscherteam die Zugangsdaten von über 300.000 Spotify-Nutzenden gefunden. Die Entdecker, Noam Rotem und Ran Locar von der VPN-Bewertungsseite VPNmentor.com, vermuten, dass die Zugangsdaten mit Credential-Stuffing-Angriffen ermittelt wurden. Spotify hat die Betroffenen auf den Vorfall hingewiesen und zu einer Änderung ihrer Zugangsdaten aufgefordert.

Die Datenbank stamme nicht von dem Musikstreamingdienst Spotify selbst, sondern vermutlich von Kriminellen, welche die rund 72 GByte umfassende Datenbank mit 380 Millionen Einträgen ungeschützt im Internet gelassen hätten, erklärt VPNmentor. In der Datenbank entdeckte das Forscherteam die über 300.000 verifizierten Spotify-Zugangsdaten sowie die Länder, in denen diese verwendet wurden. Spotify wird von rund 300 Millionen Personen aktiv genutzt.

VPNmentor vermutet, dass die Zugangsdaten über sogenannte Credential-Stuffing-Angriffe erlangt wurden. Hierbei werden Zugangsdaten, die beispielsweise über ein Datenleck oder einen Hack erlangt wurden, bei verschiedenen Anbietern ausprobiert. Da Internetnutzende dazu neigen, die gleichen Passwörter, meist mit der gleichen E-Mail-Adresse, bei verschiedenen Diensten zu nutzen, ist Credential Stuffing nach wie vor eine sehr erfolgreiche Angriffsmethode.

Social-Engineering-Angriffe denkbar

Kriminelle könnten mit den Zugangsdaten beispielsweise die bezahlten Spotify-Konten mitnutzen. Zudem könnten die Daten für Social Engineering verwendet werden. Betroffenen könnten beispielsweise gefälschte Rechnungen von Spotify gesendet werden oder sie könnten dazu gebracht werden, Schadsoftware zu installieren. Die ungeschützte Datenbank hätte zudem von Dritten entdeckt und missbraucht werden können, betont VPNmentor. Die Zugangsdaten könnten zudem bei anderen Diensten ausprobiert werden.

Entdeckt wurde die Datenbank bereits am 3. Juli 2020, an Spotify gemeldet wurde sie am 9. Juli. VPNmentor hat den Fund jedoch erst jetzt veröffentlicht. Betroffene, die eine Warnung von Spotify erhalten haben, sollten ihre Zugangsdaten umgehend ändern. Verwenden sie das gleiche Passwort auch bei anderen Diensten, sollte auch dort ein neues Passwort verwendet werden. Unabhängig davon ist es wichtig, für jeden Dienst ein individuelles, sicheres Passwort zu verwenden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Datenleck
Daten von Millionen Hotelgästen ungeschützt im Netz
artikel-bild
Datenleck, Nio, Huawei
Sonst noch was?
artikel-bild
Hackerforum
18 Datenlecks mit 386 Millionen Betroffenen veröffentlicht
Meistgelesen
artikel-bild
Wissenschaft
Wer soll an den Lithium-Luft-Akku glauben?
artikel-bild
Shopping
Amazon gibt Hinweis bei häufig zurückgeschickten Produkten
artikel-bild
Discounter
Netto reduziert Balkonkraftwerk auf 500 Euro
Kommentarübersicht
Re: 2FA?
gamer998 25. Nov 2020

Bezahldaten werden nicht mehr gespeichert. Das läuft über tokens. Normalerweise wird nix...

Bin betroffen
RainerG 25. Nov 2020

Bei mir hat Spotify vor einigen Tagen eine Anmeldung aus Russland per E-Mail gemeldet...

Passende Doku zu Spotify
Schnookerippsche 24. Nov 2020

Müssen talentlose wie Capital Bra in Zukunft auf Fake-Klickzahlen verzichten? https://www...

Glaube eher für die Manipulation der Klickzahlen
AlexanderSchork 24. Nov 2020

Das ist ein großes Problem bei Spotify und co. Und fast alle beteiligten verdienen daran...

Aktuell auf der Startseite von Golem.de
Wissenschaft
Wer soll an den Lithium-Luft-Akku glauben?

Forschungsergebnisse zu Akkutechnik sind in Wissenschaftsjournalen, der Wissenschaftskommunikation und Medien zu einer Frage des Vertrauens geworden. Zweifel sind oft angebracht - wie sich aktuell wieder zeigt.
Von Frank Wunderlich-Pfeiffer

Wissenschaft: Wer soll an den Lithium-Luft-Akku glauben?
Artikel
  1. O.MG Cable im Test: Außen USB-Kabel, innen Hackertool
    O.MG Cable im Test
    Außen USB-Kabel, innen Hackertool

    Das O.MG Cable kommt wie ein Standard-USB-Kabel daher. Dass es auch ein Hackertool ist, mit dem sich gruselige Dinge anstellen lassen, sieht man ihm nicht an. Obendrein ist es auch noch leicht zu bedienen.
    Ein Test von Moritz Tremmel

  2. Nachfolger von Windows 11: Weitere Infos zu Windows 12 tauchen auf
    Nachfolger von Windows 11
    Weitere Infos zu "Windows 12" tauchen auf

    Microsoft arbeitet stets weiter an einer neuen Version von Windows. Die wird an einigen Stellen schon jetzt als Windows 12 bezeichnet.

  3. Star Trek: Lower Decks und Strange New Worlds bekommen neue Staffeln
    Star Trek
    Lower Decks und Strange New Worlds bekommen neue Staffeln

    Nach dem Ende von Discovery und Picard wird es bei Star Trek mit Lower Decks und Strange New Worlds weitergehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Nur noch heute: Amazon Frühlingsangebote • MindStar: MSI RTX 4080 1.249€, Powercolor RX 7900 XTX OC 999€ • Fernseher Samsung & Co. bis -43% • Monitore bis -50% • Bosch Prof. bis -59% • Windows Week • Logitech bis -49% • Alexa-Sale bei Amazon • 3 Spiele kaufen, 2 zahlen [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /