Hacker setzen durchgesickerte Passwörter gegen Spotify-Konten ein

Eine Datenbank mit 380 Millionen Einträgen enthält auch gültige Anmeldedaten für den Streamingdienst. Spotify setzt daraufhin Passwörter von mehreren Hunderttausend Nutzern zurück. Die Herkunft der ungesicherten Datenbank bleibt ungeklärt.

Forscher des Sicherheitsanbieters vpnMentor haben einen möglichen Hackerangriff auf Spotify-Nutzer aufgedeckt. Sie fanden einen ungesicherte Elasticsearch-Datenbank mit mehr als 380 Millionen Einträgen. Sie enthielt auch Anmeldedaten, die offenbar auf eine mögliche Verwendung zur Anmeldung beim Streamingdienst Spotify geprüft wurden.

Spotify (Bild: Spotify)Die Daten entdeckten die Forscher bereits Anfang Juli 2020. Ihrer Analyse zufolge wurden sie für Credential-Stuffing-Angriffe eingesetzt. Dabei machen sich Hacker den Umstand zunutze, dass Anwender gerne schwache Passwörter vergeben und diese sogar bei mehreren Diensten hinterlegen. So soll des den bisher unbekannten Hackern gelungen sein, zwischen 300.000 und 350.000 gültige Anmeldedaten für Spotify-Konten zu ermitteln.

Den schwedischen Streaming-Anbieter informierten sie am 9. Juli über ihre Erkenntnisse. Der setzte daraufhin zwischen 10. und 21. Juli die Passwörter der möglicherweise betroffenen Konten zurück und machte laut vpnMentor somit die gefundenen Daten „wertlos“.

Die Forscher betonten, dass Spotify nicht für den Vorfall verantwortlich sei. Die gefundenen Daten stammten wahrscheinlich aus anderen Quellen oder seien durch illegale Methoden beschafft worden, um sie für Credential-Stuffing-Angriffe auf Spotify-Konten einzusetzen. Generell sei dies ein bekanntes Vorgehen, um sich Zugang zu kostenpflichtigen Diensten zu verschaffen.

Die Herkunft der insgesamt 72 GByte großen Datenbank konnten die Forscher nicht ermitteln. Sie enthielt neben Nutzernamen und Kennwörtern auch E-Mail-Adressen und Angaben zu Herkunftsländern und IP-Adressen. Zudem waren einige Einträge in der Datenbank als gültige Anmeldedaten für Spotify-Konten ausgewiesen.

vpnMentor warnt, dass die Daten auch für Identitätsdiebstahl geeignet seien. Zudem könnten sich die Betrüger Zugang zu anderen Diensten oder Social-Media-Konten verschaffen. Auch seien Phishing-Angriffe möglich, um Nutzer zur Installation von Schadsoftware zu verleiten.

Der Sicherheitsanbieter stolpert immer wieder über ungesicherte Online-Datenbanken. Im Oktober traf es den Pharmakonzern Pfizer, der Kommunikation von Patienten mit dem eigenen Kundensupport in einem Cloudspeicher abgelegt hatte, ohne diesen zu verschlüsseln oder mit einem Passwort zu versehen.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Themenseiten: Cybercrime, Hacker, Spotify, Streaming

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Hacker setzen durchgesickerte Passwörter gegen Spotify-Konten ein

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *