По словам исследователей vpnMentor, для таргетинга на учетные записи Spotify использовалась база данных Elasticsearch с более, чем 380 миллионами записей, включая учетные данные.
Исследователи предполагают, что хакеры могли собирать данные с ранее взломанных платформ и использовать их в атаках с заполнением учетных данных против пользователей платформы Spotify.
Эксперты прокомментировали инцидент:
«Инцидент произошел не от Spotify. Открытая база данных принадлежала третьей стороне, которая использовала ее для хранения учетных данных Spotify. Эти учетные данные, скорее всего, были получены незаконным путем или потенциально просочились из других источников, которые были перепрофилированы для атак на Spotify по подбору учетных данных».
База данных содержала более 72 ГБ данных, таких как:
- Проверенные имена пользователей учетных записей Spotify,
- Пароли,
- Адреса электронной почты,
- Геолокация и IP-адреса.
9 июля исследователи уведомили Spotify, что сразу же потребовало обязательного сброса пароля для всех затронутых пользователей. В отчете говорится:
«Работая со Spotify, мы подтвердили, что база данных принадлежит группе или отдельному лицу, использующему ее для обмана Spotify и ее пользователей. Мы также помогли компании изолировать проблему и обезопасить клиентов от атак».
Риски, связанные с утечкой
Как и в случае любых атак с заполнением учетных данных и утечки данных, затронутые пользователи должны опасаться любых фишинговых писем, отправляемых с целью обманом заставить их раскрыть дополнительную личную или финансовую информацию.
Также рекомендуется сбросить пароли для всех онлайн-учетных записей, которые использовали комбинацию учетных данных для входа в Spotify, чтобы избежать захвата учетной записи, мошенничества и кражи личных данных.
Мошенники могут использовать открытые электронные письма и имена из утечки для идентификации пользователей на других платформах и в учетных записях социальных сетей. Располагая этой информацией, они могут создавать сложные профили пользователей по всему миру и нацеливать их на многочисленные формы финансового мошенничества и кражи личных данных.
Защитите компанию с помощью решений Bitdefender.
