一组研究人员为vpnmentor.找到了一个不安全的弹性搜索数据库形式的宝库,其中包含超过3.8亿次记录。TROVE包含登录凭据和属于SPOTIFY用户的数据。

那么,Spotify为什么要把用户数据留在一个不安全的数据库中呢?回答:不是。经过调查,该团队发现这个数据库实际上并不属于Spotify。相反,该数据库被第三方用来欺骗Spotify用户。

发生了什么事?

“VPnmentor研究团队将数据库发现为庞大的Web映射项目的一部分。”

在端口扫描和检查弱点和漏洞后,研究人员习惯性地寻找泄露的数据。这个数据库是不安全的,也没有加密,所以任何人都可以完全访问它。在审查并确认了他们的发现后,该团队通知了Spotify。他们共同得出结论,数据库的所有者可能从外部网站获得了登录凭据,并在Spotify的账户上使用它们。

数据库构建器可能使用的凭据填料验证登录是否对Spotify服务有效。

数据库的起源

该第三方如何占有或设法构建,数据库尚不清楚。它有可能从暗网上的供应商获得。无论哪种方式,很明显,它会把它们带走了大量的工作和/或金钱,而是通过验证的账户进行这样一个巨大的数据库。投资他们肯定希望通过欺骗SIMITY用户来赚钱。

尽量不沾沾自喜

在欺诈者的数据库暴露的情况下,难以融化某人的不幸。它看起来好像威胁演员应该阅读我们的博客弹性服务器中的后门.问题是,除了研究人员,可能还有其他人发现了这个暴露的数据库,他们的意图可能是恶意的。

数据库的内容

除了Spotify的用户名和密码,许多数据库记录也包含个人身份信息(PII)像:

  • 电子邮件地址
  • 居住的国家

除了接管受害者的Spotify账户外,任何可以访问该数据库的人都可以使用PII将数据连接到受害者的其他账户,比如他们的社交媒体资料。PII也可以用于矛网络钓鱼甚至身份盗窃

Spotify的用户需要做什么?

Spotify为所有受影响的用户启动了自动重置密码。因此,如果您的凭据在该数据库中,您应该收到有关此密码重置的通知。如果您没有收到此类通知,但无论如何您要重置密码,那么您可以遵循这个链接然后在那里找到说明。

不幸的是,尽管有很多用户要求MFA.目前,Spotify还没有启用任何一种功能多因素身份验证我们知道。

重用的凭证

如果您在其他网站上使用了相同的登录凭据,我们建议您应该更改这些密码。然后去阅读我们的博客为什么你不需要27个不同的密码对于一些指针。

保持安全,大家好!