Nieuws
image

Honderdduizenden gestolen Spotify-wachtwoorden in onbeveiligde database

dinsdag 24 november 2020, 10:42 door Redactie, 7 reacties

Onderzoekers hebben in een onbeveiligde database die voor iedereen op internet toegankelijk was honderdduizenden gestolen Spotify-wachtwoorden ontdekt. De inloggegevens waren bij andere websites buitgemaakt en vervolgens gebruikt om op Spotify-accounts in te loggen van gebruikers die hun wachtwoorden hergebruiken.

De in totaal 72 gigabyte grote Elasticsearch-database bevatte meer dan 380 miljoen records, waaronder e-mailadressen, gebruikersnamen en wachtwoorden en de locatie van de gebruikers. Elasticsearch is zoekmachinesoftware voor het indexeren van allerlei soorten informatie. Het wordt onder andere ingezet voor het doorzoeken van websites, documenten en applicaties, maar is ook te gebruiken voor analytics, monitoring en data-analyse.

In dit geval was de database van een fraudeur die door middel van een credential stuffing-aanval had geverifieerd of de gestolen wachtwoorden ook bij Spotify werkte. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen.

Volgens onderzoekers van vpnMentor, die de database ontdekten, ging het om de inloggegevens van 300.000 tot 350.000 Spotify-gebruikers. De onderzoekers waarschuwden de online muziekdienst, waarna Spotify besloot om de wachtwoorden van alle getroffen gebruikers te resetten.

Reacties (7)
Reageer met quote
24-11-2020, 10:48 door Anoniem
en nu bij haveIbeenp0wned opgenomen?
Reageer met quote
24-11-2020, 11:50 door MM
ja, vorige week al geloof ik.
Reageer met quote
24-11-2020, 12:13 door Anoniem
Wanneer dan?.Ik gebruik al jaren Spotify,nooit is mij gevraagd om mijn wachtwoord daar te veranderen.
Reageer met quote
24-11-2020, 12:31 door jh81
is toch alweer een poosje geleden dat we Elastic hoorde bij een gelekte database :)
Reageer met quote
24-11-2020, 16:10 door Anoniem
Het is nou niet bepaald een onafhankelijke bron, het is een VPN verkoper nota bene!
Reageer met quote
24-11-2020, 17:16 door Anoniem
Door Anoniem: Wanneer dan?.Ik gebruik al jaren Spotify,nooit is mij gevraagd om mijn wachtwoord daar te veranderen.
Zoals ik het lees gaat het alleen om accounts met wachtwoorden van andere website die 'hergebruikt' worden bij Spotiy of andersom. Als je overal een uniek wachtwoord gebruikt, zou je dus niet in deze database voor moeten komen en dus ook niet de vraag krijgen om je wachtwoord te veranderen.
Reageer met quote
24-11-2020, 21:37 door Anoniem
Oef, gelukkig heb ik Spotify niet nodig, ik heb zelf muziek.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search