信息化觀察網(wǎng)

Spotify提醒用戶，他們的部分注冊(cè)信息無(wú)意中暴露給了第三方的商業(yè)合作伙伴，其中包括電子郵件地址、首選顯示名稱、密碼、性別和出生日期等信息。這至少是這家全球最大的流媒體服務(wù)商在不到一個(gè)月的時(shí)間內(nèi)發(fā)生的第三起違規(guī)事件。

Spotify在關(guān)于此次事件的聲明中稱，此次數(shù)據(jù)泄露是由一個(gè)軟件漏洞引起的，該漏洞在4月9日被發(fā)現(xiàn)，直到最近才被修復(fù)。

官方在發(fā)布的聲明中寫(xiě)道："我們非常重視本次個(gè)人信息泄露事故，并正在采取有效措施來(lái)保護(hù)您和您的個(gè)人信息安全，我們已經(jīng)進(jìn)行了企業(yè)內(nèi)部的調(diào)查，并聯(lián)系了所有可能接觸到您的賬戶信息的合作伙伴，確保不會(huì)把您的個(gè)人信息泄露給他們。"

Spotify的目標(biāo)

宣布這一消息的前幾天，也就是Spotify Wrapped 2020公布年度最受歡迎流媒體的期間，該流媒體服務(wù)商的一些最受歡迎的明星頁(yè)面被一個(gè)名為"Daniel"的惡意攻擊者接管，他通過(guò)劫持包括Dua Lipa和Pop Smoke在內(nèi)的Spotify名星頁(yè)面，來(lái)表達(dá)他對(duì)特朗普和泰勒斯威夫特的支持。

就在該事件發(fā)生的前一周，也就是11月底，Spotfiy的用戶在進(jìn)行了一次登錄憑證重新認(rèn)證操作后，企業(yè)的大批量的賬號(hào)被接管。在這種類型的攻擊中，網(wǎng)絡(luò)攻擊者利用了人們重復(fù)使用密碼的習(xí)慣；他們?cè)诓煌姆?wù)上嘗試竊取用戶的密碼和ID，然后獲得了一系列賬戶的訪問(wèn)權(quán)限。

vpnMentor的研究人員發(fā)現(xiàn)了一個(gè)含有漏洞的開(kāi)放的Elasticsearch數(shù)據(jù)庫(kù)，其中包含了超過(guò)380個(gè)Spotify用戶記錄，其中包括用戶登錄憑證。

據(jù)該公司說(shuō)："暴露的數(shù)據(jù)庫(kù)屬于一個(gè)第三方的平臺(tái)，該平臺(tái)正在使用它來(lái)存儲(chǔ)Spotify的登錄憑證，這些憑證很可能是非法獲得的，或者可能是從其他平臺(tái)泄露的。"

在那次違規(guī)事件發(fā)生之后，Spotify啟動(dòng)了密碼重置回滾功能，使原有的數(shù)據(jù)失去了作用。

Spotify憑證泄露

現(xiàn)在Spotify的用戶數(shù)據(jù)又被泄露了。

Spotify發(fā)言人給Threatpost的聲明中寫(xiě)道："有一小部分Spotify用戶可能會(huì)受到軟件bug的影響，該漏洞目前已經(jīng)得到了修復(fù)和完善。保護(hù)用戶的隱私和維護(hù)用戶的權(quán)益是Spotify的首要任務(wù)。為了解決這個(gè)問(wèn)題，我們對(duì)于受影響的用戶進(jìn)行了密碼重置。我們會(huì)非常認(rèn)真地履行這些義務(wù)。"

該公司敦促用戶盡快更新那些使用同一電子郵件賬戶綁定的密碼。

Spotify在聲明中補(bǔ)充道："再次強(qiáng)調(diào)，雖然我們并沒(méi)有發(fā)現(xiàn)任何未經(jīng)授權(quán)而使用您個(gè)人信息的情況，但為了保險(xiǎn)起見(jiàn)，我們希望您能夠保持警惕，密切觀察您的賬戶，如果你發(fā)現(xiàn)你的Spotify賬戶有任何可疑的行為，你可以及時(shí)通知我們。"

Digital Shadows的威脅研究員Kacey Clark告訴Threatpost，被竊取的數(shù)據(jù)正是惡意攻擊者發(fā)起憑證填充攻擊所必需的。

Clark向Threatpost解釋道："暴力破解工具和賬戶檢查器是許多賬戶接管攻擊的基礎(chǔ)，這樣可以使攻擊者獲得更多的數(shù)據(jù)。它們主要是應(yīng)用于API或者是網(wǎng)站登錄系統(tǒng)的自動(dòng)腳本或者程序，通過(guò)這些工具攻擊者可以達(dá)到訪問(wèn)用戶賬戶的目的"。

攻擊者一旦進(jìn)入系統(tǒng)內(nèi)，就很可能會(huì)對(duì)系統(tǒng)造成嚴(yán)重的破壞。

Clark補(bǔ)充道："使用暴力破解工具或賬戶檢查器的攻擊活動(dòng)也可能會(huì)利用IP地址，VPN服務(wù)，僵尸網(wǎng)絡(luò)或代理來(lái)保持匿名性或提高賬戶訪問(wèn)的可能性，一旦他們進(jìn)入了系統(tǒng)，他們就可以將賬戶用于其他的惡意目的，或者竊取賬號(hào)內(nèi)的所有數(shù)據(jù)（可能包括支付卡信息或個(gè)人身份信息）來(lái)獲取經(jīng)濟(jì)利益。"

她用Digital Shadows的研究結(jié)果證明了這一點(diǎn)，研究結(jié)果發(fā)現(xiàn)對(duì)于流媒體服務(wù)的攻擊占犯罪市場(chǎng)上攻擊總數(shù)的13%。

流媒體服務(wù)成為被攻擊的目標(biāo)

眾所周知，媒體和流媒體服務(wù)是憑證填充攻擊的主要目標(biāo)。Akamai最近發(fā)現(xiàn)，Spotify等流媒體提供商存在著憑證填充攻擊的風(fēng)險(xiǎn)。

該公司稱："黑客非常看重那些高知名度的在線流媒體服務(wù)的商業(yè)價(jià)值"。Akamai在關(guān)于媒體行業(yè)安全狀況的最新報(bào)告中，它發(fā)現(xiàn)在過(guò)去的一年中觀察到的880億次憑證填充攻擊中，有整整20%是針對(duì)媒體公司的。

Akamai研究員Steve Ragan解釋道："只要我們有用戶名和密碼，就會(huì)有網(wǎng)絡(luò)犯罪分子試圖入侵系統(tǒng)然后獲取那些高價(jià)值的賬號(hào)信息，公用的密碼和回收機(jī)制是造成憑證填充攻擊的兩個(gè)最重要的因素。"

雖然使用良好的密碼保護(hù)措施可以很好地讓用戶保護(hù)自己的數(shù)據(jù)隱私，但Ragan強(qiáng)調(diào)，企業(yè)更需要積極主動(dòng)的采取防御措施來(lái)提高自身的安全性，維護(hù)消費(fèi)者的權(quán)益。

雖然讓用戶保持良好的憑證登錄習(xí)慣對(duì)于避免這些攻擊來(lái)說(shuō)非常重要，但企業(yè)更應(yīng)該部署更強(qiáng)大的認(rèn)證方式，并使用技術(shù)、政策和專業(yè)知識(shí)來(lái)保護(hù)用戶，同時(shí)不對(duì)用戶的體驗(yàn)產(chǎn)生不利的影響。

本文翻譯自：https://threatpost.com/spotify-changes-passwords-data-breach/162256/