Erneut 100.000 Spotify-Kontenzugangsdaten öffentlich geworden

Publiziert am 9. Februar 2021 von Günter Born

[English]Benutzer des Dienst Spotify dürften erneut Kopfschmerzen bekommen. Ein Sicherheitsforscher hat eine Datenbank mit über 100.000 Zugangsdaten für Spotify-Benutzerkonten gefunden. Diese dürften per Credential Stuffing-Attacke ermittelt worden sein und ermöglichen unbefugten Dritten den Zugriff auf diese Benutzerkonten bei Spotify.

Anzeige

Fall vom November 2020

Im November 2020 hatte ich im Blog-Beitrag Mehr als 300.000 Spotify-Konten gehackt bereits von einem Datenschutzvorfall bei Spotify berichtet. Hacker hatten eine Datenbank mit 380 Millionen Datensätzen mit Anmeldeinformationen und persönlichen Informationen aus verschiedenen Quellen verwendet, um Spotify-Konten zu knacken und waren bei mehr als 300.000 Nutzern wohl erfolgreich. Das Ganze läuft per "Credential Stuffing": Hacker probieren auf den Webseiten einfach wahllos Zugangsdaten aus bekannten Datenlecks und können im Erfolgsfall auf die Konten zugreifen. Schwache Kennwörter oder Wiederverwendung von Zugangsdaten bei verschiedenen Benutzerkonten leisten so etwas Vorschub.

Die Sicherheitsforscher von vpnMentor sind damals im Internet auf eine ungesicherte Elasticsearch-Datenbank gestoßen, die über 380 Millionen Datensätze enthält, darunter Anmeldeinformationen und andere Benutzerdaten, die gegen den Spotify-Dienst validiert wurden. Der Ursprung der Datenbank und die Art und Weise, wie die Betrüger Spotify ins Visier genommen haben, sind beide unbekannt. Die Hacker benutzten möglicherweise Anmeldedaten, die von einer anderen Plattform, Anwendung oder Website gestohlen wurden, und benutzten sie, um auf Spotify-Konten zuzugreifen. Details sind im Blog-Beitrag Mehr als 300.000 Spotify-Konten gehackt nachzulesen.

Neuer Fall von Spotify-Kontenzugangsdaten

Am 4. Februar 2020 hat Sicherheitsforscher Bob Diacheko in diesem Tweet den Fund einer weiteren Datenbank bekannt gegeben, in der über 100.000 Spotify-Kontenzugängen gespeichert sind.

Spotify-Zugangsdaten

Anzeige

Auch hier wurden die Daten per "Credential Stuffing" erbeutet und dann für den Zugriff auf die Spotify-Konten missbraucht. Spotity setzt die Passwörter zurück, sobald ein Missbrauch bekannt wird. Zudem versucht man über die Provider die Datenbank aus dem Internet entfernen zu lassen – was aber keine wirkliche Hilfe ist (es kann ja viele Kopien geben). Die Seite hackread.com hat den Fall hier ebenfalls aufbereitet.

Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Erneut 100.000 Spotify-Kontenzugangsdaten öffentlich geworden

  1. Franz Frankenthaler sagt:
    11. Februar 2021 um 10:47 Uhr

    Weil Spotify aber partout auch nicht 2FA einführen will. Hoffentlich tritt hier mal eine Datenschutzbehörde auf den Plan.

    Habe deswegen auch wieder Spotify gekündigt. Ist mir einfach nicht sicher genug.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.