Spotify提醒用戶，他們的部分注冊信息無意中暴露給了第三方的商業合作伙伴，其中包括電子郵件地址、首選顯示名稱、密碼、性別和出生日期等信息。這至少是這家全球最大的流媒體服務商在不到一個月的時間內發生的第三起違規事件。

Spotify在關于此次事件的聲明中稱，此次數據泄露是由一個軟件漏洞引起的，該漏洞在4月9日被發現，直到最近才被修復。

[[376908]]

官方在發布的聲明中寫道："我們非常重視本次個人信息泄露事故，并正在采取有效措施來保護您和您的個人信息安全，我們已經進行了企業內部的調查，并聯系了所有可能接觸到您的賬戶信息的合作伙伴，確保不會把您的個人信息泄露給他們。"

Spotify的目標

宣布這一消息的前幾天，也就是Spotify Wrapped 2020公布年度最受歡迎流媒體的期間，該流媒體服務商的一些最受歡迎的明星頁面被一個名為 "Daniel "的惡意攻擊者接管，他通過劫持包括Dua Lipa和Pop Smoke在內的Spotify名星頁面，來表達他對特朗普和泰勒斯威夫特的支持。

就在該事件發生的前一周，也就是11月底，Spotfiy的用戶在進行了一次登錄憑證重新認證操作后，企業的大批量的賬號被接管。在這種類型的攻擊中，網絡攻擊者利用了人們重復使用密碼的習慣;他們在不同的服務上嘗試竊取用戶的密碼和ID，然后獲得了一系列賬戶的訪問權限。

Mentor的研究人員發現了一個含有漏洞的開放的Elasticsearch數據庫，其中包含了超過380個Spotify用戶記錄，其中包括用戶登錄憑證。

據該公司說："暴露的數據庫屬于一個第三方的平臺，該平臺正在使用它來存儲Spotify的登錄憑證，這些憑證很可能是非法獲得的，或者可能是從其他平臺泄露的。"

在那次違規事件發生之后，Spotify啟動了密碼重置回滾功能，使原有的數據失去了作用。

Spotify憑證泄露

現在Spotify的用戶數據又被泄露了。

Spotify發言人給Threatpost的聲明中寫道："有一小部分Spotify用戶可能會受到軟件bug的影響，該漏洞目前已經得到了修復和完善。保護用戶的隱私和維護用戶的權益是Spotify的首要任務。為了解決這個問題，我們對于受影響的用戶進行了密碼重置。我們會非常認真地履行這些義務。"

該公司敦促用戶盡快更新那些使用同一電子郵件賬戶綁定的密碼。

Spotify在聲明中補充道："再次強調，雖然我們并沒有發現任何未經授權而使用您個人信息的情況，但為了保險起見，我們希望您能夠保持警惕，密切觀察您的賬戶，如果你發現你的Spotify賬戶有任何可疑的行為，你可以及時通知我們。"

Digital Shadows的威脅研究員Kacey Clark告訴Threatpost，被竊取的數據正是惡意攻擊者發起憑證填充攻擊所必需的。

Clark向Threatpost解釋道："暴力破解工具和賬戶檢查器是許多賬戶接管攻擊的基礎，這樣可以使攻擊者獲得更多的數據。它們主要是應用于API或者是網站登錄系統的自動腳本或者程序，通過這些工具攻擊者可以達到訪問用戶賬戶的目的"。

攻擊者一旦進入系統內，就很可能會對系統造成嚴重的破壞。

Clark補充道："使用暴力破解工具或賬戶檢查器的攻擊活動也可能會利用IP地址，虛擬專用網服務，僵尸網絡或代理來保持匿名性或提高賬戶訪問的可能性，一旦他們進入了系統，他們就可以將賬戶用于其他的惡意目的，或者竊取賬號內的所有數據(可能包括支付卡信息或個人身份信息)來獲取經濟利益。"

她用Digital Shadows的研究結果證明了這一點，研究結果發現對于流媒體服務的攻擊占犯罪市場上攻擊總數的13%。

流媒體服務成為被攻擊的目標

眾所周知，媒體和流媒體服務是憑證填充攻擊的主要目標。Akamai最近發現，Spotify等流媒體提供商存在著憑證填充攻擊的風險。

該公司稱："黑客非常看重那些高知名度的在線流媒體服務的商業價值"。Akamai在關于媒體行業安全狀況的最新報告中，它發現在過去的一年中觀察到的880億次憑證填充攻擊中，有整整20%是針對媒體公司的。

Akamai研究員Steve Ragan解釋道："只要我們有用戶名和密碼，就會有網絡犯罪分子試圖入侵系統然后獲取那些高價值的賬號信息，公用的密碼和回收機制是造成憑證填充攻擊的兩個最重要的因素。"

雖然使用良好的密碼保護措施可以很好地讓用戶保護自己的數據隱私，但Ragan強調，企業更需要積極主動的采取防御措施來提高自身的安全性，維護消費者的權益。

雖然讓用戶保持良好的憑證登錄習慣對于避免這些攻擊來說非常重要，但企業更應該部署更強大的認證方式，并使用技術、政策和專業知識來保護用戶，同時不對用戶的體驗產生不利的影響。

本文翻譯自：https://threatpost.com/spotify-changes-passwords-data-breach/162256/