:

Szerző: Hlács Ferenc

2020. november 24. 11:25

300 ezer Spotify fiók adatai kerülhettek illetéktelen kezekbe

Támadók más adatszivárgásokból szerzett azonosítókkal próbáltak hozzáférni a felhasználói fiókokhoz.

Kiterjedt támadás áldozata lett a Spotify: a cég több mint 300 ezer felhasználójának információi kerülhettek veszélybe, miután ismeretlenek egy masszív, 72 gigabájtot meghaladó méretű, több külső adatszivárgásból összeállított adatbázis segítségével próbáltak hozzáférni a zenestreaming szolgáltatásban használt felhasználói profilokhoz.

A méretes adatszivárgás-gyűjteményt a vpnMentor biztonsági szakértői fedezték fel idén júliusban, az ügy részleteiről pedig a napokban blogposztban számoltak be. Eszerint az ismeretlen támadók egy jó eséllyel több forrásból összefércelt, több mint 380 millió rekordot tartalmazó adatbázis alapján próbáltak meg bejutni a Spotify felhasználóinak fiókjaiba. Az adatbázisban ott voltak a felhasználók email címei, a megadott tartózkodási országok, felhasználónevek, jelszavak, illetve az is, hogy azokkal sikeresen hozzá lehetett-e férni a megcélzott profilokhoz.

spotill

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Azt a kutatóknak nem sikerült kideríteni, hogy a hatalmas méretű adatbázist pontosan milyen forrásokból állították össze a támadók, posztjuk szerint ugyanakkor tudható, hogy az információk nem a Spotify-tól szivárogtak ki, valószínűleg más platformokról, appokból vagy egyéb online szolgáltatásokból illetéktelenül megszerzett adatokról van szó. Az adatbázist a támadók egyébként egy szabadon hozzáférhető Elasticsearch szerveren tárolták, bármiféle védelem vagy titkosítás nélkül.

A hasonló, több forrásból összetoldozott adatbázisok a kutatók szerint kifejezetten népszerűek a támadók körében, akik aztán a belépési adatokat több online szolgáltatás felületén is végigpróbálgatják, a fiókokhoz való hozzáférés reményében. A módszer sajnos nem elhanyagolható számú esetben sikeres is, miután a felhasználók továbbra is hajlamosak gyenge jelszavakat megadni, ráadásul ugyanazt a jelszót akár több online felületen is használják.

Az esetről a szakértők adatbázis felfedezését követően, idén július 9-én értesítették a Spotify-t, a vállalat pedig még aznap reagált a megkeresésre és július 21-ig pedig visszaállította minden érintett felhasználónál új jelszót állított be.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról