Datenleck bei Spotify: Zugangsdaten von Nutzern in ungeschützter Datenbank entdeckt

27. November 2020
[Gesamt: 0   Durchschnitt:  0/5]
832 mal gelesen
0 Shares
sitzende Frau mit einem smartphone in der Hand

Beim Musikstreaming-Dienst Spotify gab es offenbar kürzlich ein Datenleck: Sicherheitsforscher entdeckten eine von Hackern betriebene Datenbank mit über 300.000 Zugangsdaten von Spotify-Nutzern. Die Datensätze seien mithilfe sogenannter „Credential-Stuffing-Angriffe“ gesammelt worden. Betroffene Nutzer sollten sich mit der Sicherheit ihres Passworts auseinandersetzen.

Ein Forscherteam hat im Netz eine ungeschützte Elasticsearch-Datenbank gefunden, in der die Zugangsdaten von über 300.000 Spotify-Nutzern offen einsehbar abgespeichert waren. Die Datenbank stamme nicht von dem Musikstreaming-Dienst selbst, sondern vermutlich von Kriminellen, die die rund 72 Gigabyte umfassende Datenbank mit 380 Millionen Einträgen ungeschützt im Internet gelassen hätten. Spotify hat die Betroffenen bereits auf den Vorfall aufmerksam gemacht und zu einer Änderung ihrer Zugangsdaten aufgefordert.

Die Entdecker der Datenbank, Noam Rotem und Ran Locar von der VPN-Bewertungsseite VPNmentor.com, gehen davon aus, dass die Zugangsdaten anhand sogenannter „Credential-Stuffing-Angriffe“ ermittelt wurden. Dabei werden Zugangsdaten, die beispielsweise über ein Datenleck oder einen Hackerangriff erlangt wurden, bei verschiedenen Anbietern ausprobiert. Weil viele Internetnutzer die gleichen Passwörter, meist in Verbindung mit der gleichen E-Mail-Adresse, bei verschiedenen Diensten verwenden, ist das Credential Stuffing eine sehr erfolgreiche Angriffsmethode.

„Credential-Stuffing-Angriffe“ vermutet

Die entdeckten Datensätze stammen wohl aus einer oder mehreren unbekannten Quellen und sind vermutlich gezielt und automatisiert bei Spotify durchprobiert worden. Daraus sei die nun entdeckte Datenbank mit verschiedenen Nutzerdaten entstanden. Neben Kombinationen aus E-Mail-Adressen, Nutzernamen und Passwörtern hätten die Datensätze auch Informationen zu den Wohnort- und Länderangaben der Nutzer umfasst.

Anhand dieser Daten könnten Kriminelle beispielsweise die bezahlten Spotify-Konten der Betroffenen mitnutzen. Außerdem wäre eine Nutzung dieser Daten für Social Engineering denkbar: An die Betroffenen könnten zum Beispiel gefälschte Rechnungen von Spotify gesendet werden. Auch wäre möglich, dass die Nutzer zur Installation von Schadsoftware bewegt werden könnten. Ob die Daten tatsächlich verwendet wurden, um auf einzelne Spotify-Accounts zuzugreifen, und ob auch andere Kriminelle die Datenquelle verwendet haben, ist unklar.

Datenleck schon länger bekannt

Die Datenbank wurde bereits am 3. Juli entdeckt und am 9. Juli 2020 an Spotify gemeldet. Spotify habe auf die Kontaktaufnahme am 9. Juli schnell reagiert um im Zeitraum vom 10. Bis 21. Juli 2020 eine zwangsweise Passwortänderung für alle betroffenen Accounts vorgenommen. Dass in der Datenbank eine so große Menge an Zugangsdaten gesammelt werden konnten, liegt vermutlich auch an der gängigen Praxis vieler User, Nutzernamen und Passwörter parallel für mehrere Dienste zu nutzen. Bei Spotify wird das Credential Stuffing zudem dadurch erleichtert, dass bei der Anmeldung wahlweise entweder eine E-Mail-Adresse oder ein Nutzername angegeben werden kann.

Wer im Juli von Spotify dazu aufgefordert wurde, seine Zugangsdaten zu ändern, sollte dies unbedingt tun. Sofern das gleiche Passwort auch bei anderen Diensten verwendet wird, sollte auch dort ein neues Passwort genutzt werden. Unabhängig davon ist es wichtig, gegenüber Phishing-Angriffen wachsam zu sein und für jeden Dienst ein individuelles, sicheres Passwort zu verwenden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Jetzt zum Newsletter anmelden!

Erlaubnis zum Versand des Newsletters: Ich möchte regelmäßig per E-Mail über aktuelle News und interessante Entwicklungen aus den Tätigkeitsfeldern der Anwaltskanzlei Hild & Kollegen informiert werden. Diese Einwilligung zur Nutzung meiner E-Mail-Adresse kann ich jederzeit für die Zukunft widerrufen, in dem ich z. B. eine E-Mail an newsletter [at] kanzlei.biz sende. Der Newsletter-Versand erfolgt entsprechend unserer Datenschutzerklärung.

n/a