Μια ομάδα hacking κατάφερε να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε 350.000 λογαριασμούς του Spotify στην υπηρεσία music streaming. Για να το πετύχει αυτό, χρησιμοποίησε διαπιστευτήρια σύνδεσης που είχαν κλαπεί από άλλες παραβιάσεις δεδομένων και φυσικά αρκετή υπομονή από τη μεριά τους.
Η επιτυχία της επίθεσης οφείλεται σε ένα μεγάλο βαθμό στο ότι οι κάτοχοι των λογαριασμών Spotify, επαναχρησιμοποιούσαν τους κωδικούς πρόσβασης από άλλους λογαριασμούς που είχαν. Έτσι οι hackers το μόνο που έπρεπε να κάνουν ήταν απλώς να δοκιμάσουν συνδυασμούς στο Spotify, μια τεχνική γνωστή ως credential stuffing.
Οι hackers ωστόσο, έκαναν ένα λάθος, αφού οι ίδιοι ήταν εκείνοι που εξέθεσαν την δραστηριότητά τους, αποθηκεύοντας τα αρχεία σε μια μη ασφαλή βάση δεδομένων cloud. Αυτό σήμαινε ότι οποιοσδήποτε με πρόγραμμα περιήγησης ιστού θα μπορούσε να δει τα δεδομένα χωρίς να χρειάζεται κωδικό πρόσβασης.
Οι ερευνητές ασφαλείας Ran Locar και Noam Rotem βρήκαν τα εκτεθειμένα αρχεία ως μέρος μίας έρευνας, που σαρώνει το Διαδίκτυο για μη ασφαλή δεδομένα. Οι ερευνητές, οι οποίοι αναζητούσαν μη ασφαλή δεδομένα, δημοσίευσαν τα ευρήματά τους στον ιστότοπο ασφαλείας vpnMentor τη Δευτέρα.
Οι Locar και Rotem δεν είναι σίγουροι ότι τα δεδομένα δεν ανακαλύφθηκαν και από κάποιον άλλο, καθώς πολλοί είναι εκείνοι που σαρώνουν το διαδίκτυο για εκτεθειμένα δεδομένα.
Αυτό που πρέπει να θυμούνται οι χρήστες, είναι ότι δεν πρέπει να επαναχρησιμοποιούν τους κωδικούς τους.
Οι κλεμμένοι λογαριασμοί Spotify θα μπορούσαν να ενοικιαστούν σε άλλους χρήστες με έκπτωση. Θα μπορούσαν επίσης να χρησιμοποιηθούν για «streaming manipulation», η οποία, όπως ανέφερε η Rolling Stone το 2019, είναι μια σημαντική ανησυχία στον κλάδο των ηχογραφήσεων. Η πρακτική περιλαμβάνει τον συντονισμό λογαριασμών με εντολή, σε υπηρεσίες ροής μουσικής για την ενίσχυση των αριθμών για ένα τραγούδι εάν κάποιος είναι πρόθυμος να πληρώσει για μια τέτοια υπηρεσία.
Το Spotify έχει προχωρήσει σε επαναφορά κωδικού πρόσβασης για τους επηρεαζόμενους χρήστες, τερματίζοντας έτσι τη χρησιμότητα των κλεμμένων δεδομένων. Η εταιρεία συμβουλεύει τους πελάτες της να μην επαναχρησιμοποιούν ποτέ τους κωδικούς πρόσβασης και προσφέρει στον ιστότοπό της περισσότερες συμβουλές για την προστασία της ασφάλειας του λογαριασμού τους.
Οι Locar και Rotem βρήκαν επίσης αρχεία διευθύνσεων IP, οι οποίες διαπίστωσαν ότι σχετίζονται πιθανώς με τους διακομιστές μεσολάβησης που οι εγκληματίες χρησιμοποιούσαν για να μεταμφιέσουν την τοποθεσία τους ενώ πραγματοποιούσαν τις δραστηριότητές τους. Αυτές οι λεπτομέρειες, μαζί με τα αρχεία των εκτεθειμένων λογαριασμών, θα μπορούσαν να βοηθήσουν την Spotify να εντοπίσει δραστηριότητα που προέρχεται από τον εγκληματικό δακτύλιο.
