Sicherheitsforscher haben in einer ungeschützten Elasticsearch-Datenbank die Zugangsdaten von mehr als 300.000 Spotify-Nutzern entdeckt. Gefunden haben diese Datenbank Noam Rotem und Ran Locar von der VPN-Bewertungsseite VPNmentor.com. Sie vermuten, dass die Zugangsdaten durch Credential-Stuffing-Angriffe erbeutet wurden. Spotify hat die betroffenen Kunden auf den Vorfall hingewiesen und sie zur Änderung ihrer Zugangsdaten aufgefordert.
Vermutlich stamme die Datenbank nicht von Spotify selbst, sondern vermutlich von Kriminellen, welche die ca. 72 GByte umfassende Datenbank mit 380 Millionen Einträgen ungeschützt im Internet stehen gelassen hätten, erklärt dazu VPNmentor.
In den Daten entdeckte das Forscherteam die über 300.000 verifizierten Spotify-Zugangsdaten und auch die Länder, in denen sie verwendet wurden. Insgesamt wird von Spotify rund 300 Millionen Kunden aktiv genutzt.
Daten durch Credential Stuffing beschafft
Man vermutet, dass die Zugangsdaten über sogenannte Credential-Stuffing-Angriffe beschafft wurden. Dabei werden Zugangsdaten, die zum Beispiel durch ein Datenleck oder einen Hack erlangt wurden, bei mehreren verschiedenen Anbietern ausprobiert. Weil Internetnutzer dazu neigen, dieselben Passwörter, in der Regel auch mit derselben Emailadresse, bei verschiedenen Diensten zu nutzen, ist Credential Stuffing noch immer eine relativ erfolgreiche Angriffsmethode.
Nutzung der Daten
Kriminelle haben viele Möglichkeiten, diese Daten zu nutzen. Sie könnten mit den Zugangsdaten zum Beispiel die bezahlten Spotify-Konten mit benutzen. Außerdem könnten die Daten für Social Engineering-Attacken gebraucht werden.
Den Betroffenen könnten damit gefälschte Rechnungen von Spotify gesendet werden und sie könnten auch manipuliert werden, Schadsoftware zu installieren. VPNmentor weist darauf hin, dass ja auch böswillige Dritte die ungeschützte Datenbank entdeckt und missbraucht haben könnten. Letztlich könne man die Zugangsdaten auch bei diversen anderen Diensten ausprobieren.
Fund erst spät veröffentlicht
Die Datenbank wurde schon Anfang Juli 2020 entdeckt und eine Woche später an Spotify gemeldet – allerdings hat VPNmentor den Fund erst jetzt veröffentlicht. Wer eine Warnung von Spotify erhalten hat, sollten seine Zugangsdaten umgehend ändern. Verwendet er dasselbe Passwort auch bei anderen Diensten, sollte er auch dort ein neues Passwort nutzen.
