Približne 300 až 350 tisíc používateľov Spotify, najpopulárnejšej služby na streamovanie hudby na svete, sa stalo terčom tzv. credential stuffingu, automatizovaného dosádzania ukradnutých či uniknutých prihlasovacích údajov do iných služieb.
Už začiatkom júla výskumníci vpnMentor objavili deravú databázu Elasticsearch, ktorá obsahovala viac ako 380 miliónov záznamov. Údaje zahŕňali používateľské mená a heslá overené na Spotify, emailové adresy či krajiny pobytu. „Odhalená databáza patrila tretej strane, ktorá ju používala na ukladanie prihlasovacích údajov Spotify. S najväčšou pravdepodobnosťou boli získané nelegálne alebo mohli uniknúť z iných zdrojov, ktoré boli opätovne zneužité na credential-stuffingové útoky proti Spotify,“ spresňujú výskumníci. V reakcii na hrozbu spoločnosť Spotify iniciovala postupné vyžiadanie obnovy hesiel pre všetkých dotknutých používateľov.
Podľa vpnMentor by však údaje z databázy mohla byť použitá aj inak. Odhalenú databázu mohli použiť v zločineckých schémach nielen podvodníci, ktorí ju vytvorili, ale aj všetci škodliví hackeri, ktorí databázu našli, rovnako ako my. Problémom pri týchto typoch incidentov sú najmä slabé a často opakované používateľské heslá. Ako však podotýkajú výskumníci, podobné nepríjemné udalosti majú potenciál podporiť bezpečnejšie postupy pri heslovaní účtov používateľov – čo urobila aj spoločnosť Spotify. „Firmy by mali chrániť svoje prihlasovacie stránky riešeniami na správu botov. Používatelia musia pri každej službe používať silné a jedinečné heslá a, ak je to možné, používať viacfaktorovú autentizáciu.“ Ameet Naik, bezpečnostný expert v spoločnosti PerimeterX, pre Threatpost vysvetli, že cieľom týchto útokov je väčšinou automatizované prevzatie cudzieho účtu. Čo sa týka ich rozsahu, oproti predchádzajúcemu roku vraj išlo až o 72% nárast.
Zdroj: CS