Mehr als 300.000 Spotify-Konten gehackt

[English]Kunden des Musik-Streaming-Diensts Spotify haben möglicherweise ein Problem. Hacker haben eine Datenbank mit 380 Millionen Datensätzen mit Anmeldeinformationen und persönlichen Informationen aus verschiedenen Quellen verwendet, um Spotify-Konten zu knacken und waren bei mehr als 300.000 Nutzern wohl erfolgreich.


Anzeige

Die gehackten Spotify-Konten

Seit Jahren gibt es Benutzer, deren Spotify-Konten gehackt wurden, nachdem diese Passwörter änderten. Plötzlich erschienen neue Wiedergabelisten in ihren Profilen oder Fremde aus anderen Ländern wurden zu ihren Familienkonten hinzugefügt. Hier einige Tweets Betroffener, die ich mal herausgezogen habe.

Spotify gehackt

Dürfte alles auf "Credential Stuffing" zurückzuführen sein: Hacker probieren auf den Webseiten einfach wahllos Zugangsdaten aus bekannten Datenlecks und können im Erfolgsfall auf die Konten zugreifen. Schwache Kennwörter oder Wiederverwendung von Zugangsdaten bei verschiedenen Benutzerkonten leisten so etwas Vorschub.

Elasticsearch-Datenbank mit Anmeldedaten

Das Team von vpnMentor hat mir gestern Mittag Informationen zu einem neuen Fall zugemailt, bei dem Spotify-Konten im Fokus stehen.  Die Sicherheitsforscher von vpnMentor sind im Internet auf eine ungesicherte Elasticsearch-Datenbank gestoßen, die über 380 Millionen Datensätze enthält, darunter Anmeldeinformationen und andere Benutzerdaten, die gegen den Spotify-Dienst validiert wurden. Der Ursprung der Datenbank und die Art und Weise, wie die Betrüger Spotify ins Visier genommen haben, sind beide unbekannt. Die Hacker benutzten möglicherweise Anmeldedaten, die von einer anderen Plattform, Anwendung oder Website gestohlen wurden, und benutzten sie, um auf Spotify-Konten zuzugreifen.


Anzeige

Spotify bestätigt den Betrugsversuch

Die Sicherheitsspezialisten von vpnMentor haben dann den schwedischen Musikdienst Spotify kontaktiert und die Informationen übergeben. Der Anbieter arbeitete mit den Sicherheitsforscher zusammen. So ließ sich verifizieren, dass die Datenbank einer Gruppe oder Einzelperson gehört, die sie zum Betrug an Spotify und seinen Benutzern benutzt hat. Durch die Kooperation zwischen vpnMentor und Spotify ließ sich das Problem isolieren. Inzwischen ist wohl sichergestellt, dass Spotify-Kunden vor Angriffen geschützt sind – schreiben die vpnMentor Leute.

Die Sicherheitsforscher schätzen, dass 300.000 bis 350.000 Spotify-Konten auf diese Weise gehackt wurden. Wer Zugriff auf die Konten hat, kann auf Kosten des Konteninhabers Musik auf Spotify hören. Die 350.000 gehackten Konten sind natürlich nichts gegen die über 290 Millionen aktiven Nutzer monatlich für das Jahr 2020. Hier noch die Zeitleiste:

Datum entdeckt: 3. Juli 2020 (überprüft am 9. Juli)
Datum Kontaktaufnahme mit Spotify: 9. Juli 2020
Datum der Antwort: 9. Juli 2020
Datum der Spotify-Aktion: Zwischen dem 10. Juli und dem 21. Juli 2020

Weitere Details sind im Bedarfsfall in diesem englischsprachigen Blog-Beitrag abrufbar.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Mehr als 300.000 Spotify-Konten gehackt

  1. Dat Bundesferkel sagt:

    "Elasticsearch-Datenbank"
    Ernsthaft? Schon wieder? Das Produkt wandert allmählich auf meine schwarze Liste…

  2. Beat sagt:

    Am 20. August hatte ich plötzlich unerwünschten Besuch auf meinem Spotify-Account. Nachdem ich mich bei Spotify gemeldet hatte, haben sie das Abo "aus Sicherheitsgründen" gekündigt. Kein Pieps darüber, dass das Problem auf ihrer Seite lag. Ich habe ein sicheres PW verwendet und auf https://haveibeenpwned.com/ überprüft, ob dieses irgendwo geleakt wurde. Kein Treffer.

  3. FranzF sagt:

    Warum Spotify kein 2FA anbietet, ist mir immer noch rätselhaft. Ich hatte sogar mal deren Support angeschrieben und danach gefragt (auch mit dem Hinweis, dass ein Datenleck bei fehlender 2FA vermutlich ein DSGVO-Verstoß ist). Da kamen aber nur leere Sätze zurück.

    • Chris sagt:

      Hallo Franz,
      was soll denn eine 2FA verbessern?
      Das ist doch nur für Leute die ihre Passwörter nicht verwalten können. Warum soll ich denn noch meine Handynummer hinterlassen und die bei einem Datenklau auch noch klauen lassen? Vergib Passwörter nur einmal und ordentlich lang mit Großbuchstaben, Kleinbuchstaben, Zahl und Sonderzeichen. Mir wurde noch nie ein Account gehackt und ich bin auch schon über 20Jahre im Netz unterwegs. Es ist doch kein Datenleck seitens Spotify, wenn ich ein zu einfaches Passwort nutze und das bei einem anderen Anbieter geklaut wurde.
      Viele Grüße Chris

  4. Sea sagt:

    Uff solche Kommentare am Morgen versauen einem doch gleich den Tag und machen einen traurig.
    Seit 20 Jahren im Netz und dann sowas.
    2FA gibt's in vielen Farben und Formen. Muss man nicht per SMS lösen.
    Einen Dienst anzubieten der echtes Geld verbrennt und dann keine 2FA für sicherheitsbewusste Menschen anbieten geht heutzutage gar nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.