Datenleck bei Spotify: Zugangsdaten von Nutzern in ungeschützter Datenbank entdeckt
Ein Forscherteam hat im Netz eine ungeschützte Elasticsearch-Datenbank gefunden, in der die Zugangsdaten von über 300.000 Spotify-Nutzern offen einsehbar abgespeichert waren. Die Datenbank stamme nicht von dem Musikstreaming-Dienst selbst, sondern vermutlich von Kriminellen, die die rund 72 Gigabyte umfassende Datenbank mit 380 Millionen Einträgen ungeschützt im Internet gelassen hätten. Spotify hat die Betroffenen bereits auf den Vorfall aufmerksam gemacht und zu einer Änderung ihrer Zugangsdaten aufgefordert.
Die Entdecker der Datenbank, Noam Rotem und Ran Locar von der VPN-Bewertungsseite VPNmentor.com, gehen davon aus, dass die Zugangsdaten anhand sogenannter „Credential-Stuffing-Angriffe“ ermittelt wurden. Dabei werden Zugangsdaten, die beispielsweise über ein Datenleck oder einen Hackerangriff erlangt wurden, bei verschiedenen Anbietern ausprobiert. Weil viele Internetnutzer die gleichen Passwörter, meist in Verbindung mit der gleichen E-Mail-Adresse, bei verschiedenen Diensten verwenden, ist das Credential Stuffing eine sehr erfolgreiche Angriffsmethode.
„Credential-Stuffing-Angriffe“ vermutet
Die entdeckten Datensätze stammen wohl aus einer oder mehreren unbekannten Quellen und sind vermutlich gezielt und automatisiert bei Spotify durchprobiert worden. Daraus sei die nun entdeckte Datenbank mit verschiedenen Nutzerdaten entstanden. Neben Kombinationen aus E-Mail-Adressen, Nutzernamen und Passwörtern hätten die Datensätze auch Informationen zu den Wohnort- und Länderangaben der Nutzer umfasst.
Anhand dieser Daten könnten Kriminelle beispielsweise die bezahlten Spotify-Konten der Betroffenen mitnutzen. Außerdem wäre eine Nutzung dieser Daten für Social Engineering denkbar: An die Betroffenen könnten zum Beispiel gefälschte Rechnungen von Spotify gesendet werden. Auch wäre möglich, dass die Nutzer zur Installation von Schadsoftware bewegt werden könnten. Ob die Daten tatsächlich verwendet wurden, um auf einzelne Spotify-Accounts zuzugreifen, und ob auch andere Kriminelle die Datenquelle verwendet haben, ist unklar.
Datenleck schon länger bekannt
Die Datenbank wurde bereits am 3. Juli entdeckt und am 9. Juli 2020 an Spotify gemeldet. Spotify habe auf die Kontaktaufnahme am 9. Juli schnell reagiert um im Zeitraum vom 10. Bis 21. Juli 2020 eine zwangsweise Passwortänderung für alle betroffenen Accounts vorgenommen. Dass in der Datenbank eine so große Menge an Zugangsdaten gesammelt werden konnten, liegt vermutlich auch an der gängigen Praxis vieler User, Nutzernamen und Passwörter parallel für mehrere Dienste zu nutzen. Bei Spotify wird das Credential Stuffing zudem dadurch erleichtert, dass bei der Anmeldung wahlweise entweder eine E-Mail-Adresse oder ein Nutzername angegeben werden kann.
Wer im Juli von Spotify dazu aufgefordert wurde, seine Zugangsdaten zu ändern, sollte dies unbedingt tun. Sofern das gleiche Passwort auch bei anderen Diensten verwendet wird, sollte auch dort ein neues Passwort genutzt werden. Unabhängig davon ist es wichtig, gegenüber Phishing-Angriffen wachsam zu sein und für jeden Dienst ein individuelles, sicheres Passwort zu verwenden.