[English]Benutzer des Dienst Spotify dürften erneut Kopfschmerzen bekommen. Ein Sicherheitsforscher hat eine Datenbank mit über 100.000 Zugangsdaten für Spotify-Benutzerkonten gefunden. Diese dürften per Credential Stuffing-Attacke ermittelt worden sein und ermöglichen unbefugten Dritten den Zugriff auf diese Benutzerkonten bei Spotify.
Anzeige
Fall vom November 2020
Im November 2020 hatte ich im Blog-Beitrag Mehr als 300.000 Spotify-Konten gehackt bereits von einem Datenschutzvorfall bei Spotify berichtet. Hacker hatten eine Datenbank mit 380 Millionen Datensätzen mit Anmeldeinformationen und persönlichen Informationen aus verschiedenen Quellen verwendet, um Spotify-Konten zu knacken und waren bei mehr als 300.000 Nutzern wohl erfolgreich. Das Ganze läuft per "Credential Stuffing": Hacker probieren auf den Webseiten einfach wahllos Zugangsdaten aus bekannten Datenlecks und können im Erfolgsfall auf die Konten zugreifen. Schwache Kennwörter oder Wiederverwendung von Zugangsdaten bei verschiedenen Benutzerkonten leisten so etwas Vorschub.
Die Sicherheitsforscher von vpnMentor sind damals im Internet auf eine ungesicherte Elasticsearch-Datenbank gestoßen, die über 380 Millionen Datensätze enthält, darunter Anmeldeinformationen und andere Benutzerdaten, die gegen den Spotify-Dienst validiert wurden. Der Ursprung der Datenbank und die Art und Weise, wie die Betrüger Spotify ins Visier genommen haben, sind beide unbekannt. Die Hacker benutzten möglicherweise Anmeldedaten, die von einer anderen Plattform, Anwendung oder Website gestohlen wurden, und benutzten sie, um auf Spotify-Konten zuzugreifen. Details sind im Blog-Beitrag Mehr als 300.000 Spotify-Konten gehackt nachzulesen.
Neuer Fall von Spotify-Kontenzugangsdaten
Am 4. Februar 2020 hat Sicherheitsforscher Bob Diacheko in diesem Tweet den Fund einer weiteren Datenbank bekannt gegeben, in der über 100.000 Spotify-Kontenzugängen gespeichert sind.
Anzeige
Auch hier wurden die Daten per "Credential Stuffing" erbeutet und dann für den Zugriff auf die Spotify-Konten missbraucht. Spotity setzt die Passwörter zurück, sobald ein Missbrauch bekannt wird. Zudem versucht man über die Provider die Datenbank aus dem Internet entfernen zu lassen – was aber keine wirkliche Hilfe ist (es kann ja viele Kopien geben). Die Seite hackread.com hat den Fall hier ebenfalls aufbereitet.
Anzeige
Weil Spotify aber partout auch nicht 2FA einführen will. Hoffentlich tritt hier mal eine Datenschutzbehörde auf den Plan.
Habe deswegen auch wieder Spotify gekündigt. Ist mir einfach nicht sicher genug.