Hacker setzen durchgesickerte Passwörter gegen Spotify-Konten ein

Forscher des Sicherheitsanbieters vpnMentor haben einen möglichen Hackerangriff auf Spotify-Nutzer aufgedeckt. Sie fanden einen ungesicherte Elasticsearch-Datenbank mit mehr als 380 Millionen Einträgen. Sie enthielt auch Anmeldedaten, die offenbar auf eine mögliche Verwendung zur Anmeldung beim Streamingdienst Spotify geprüft wurden.

Die Daten entdeckten die Forscher bereits Anfang Juli 2020. Ihrer Analyse zufolge wurden sie für Credential-Stuffing-Angriffe eingesetzt. Dabei machen sich Hacker den Umstand zunutze, dass Anwender gerne schwache Passwörter vergeben und diese sogar bei mehreren Diensten hinterlegen. So soll des den bisher unbekannten Hackern gelungen sein, zwischen 300.000 und 350.000 gültige Anmeldedaten für Spotify-Konten zu ermitteln.

Den schwedischen Streaming-Anbieter informierten sie am 9. Juli über ihre Erkenntnisse. Der setzte daraufhin zwischen 10. und 21. Juli die Passwörter der möglicherweise betroffenen Konten zurück und machte laut vpnMentor somit die gefundenen Daten „wertlos“.

Die Forscher betonten, dass Spotify nicht für den Vorfall verantwortlich sei. Die gefundenen Daten stammten wahrscheinlich aus anderen Quellen oder seien durch illegale Methoden beschafft worden, um sie für Credential-Stuffing-Angriffe auf Spotify-Konten einzusetzen. Generell sei dies ein bekanntes Vorgehen, um sich Zugang zu kostenpflichtigen Diensten zu verschaffen.

Die Herkunft der insgesamt 72 GByte großen Datenbank konnten die Forscher nicht ermitteln. Sie enthielt neben Nutzernamen und Kennwörtern auch E-Mail-Adressen und Angaben zu Herkunftsländern und IP-Adressen. Zudem waren einige Einträge in der Datenbank als gültige Anmeldedaten für Spotify-Konten ausgewiesen.

vpnMentor warnt, dass die Daten auch für Identitätsdiebstahl geeignet seien. Zudem könnten sich die Betrüger Zugang zu anderen Diensten oder Social-Media-Konten verschaffen. Auch seien Phishing-Angriffe möglich, um Nutzer zur Installation von Schadsoftware zu verleiten.

Der Sicherheitsanbieter stolpert immer wieder über ungesicherte Online-Datenbanken. Im Oktober traf es den Pharmakonzern Pfizer, der Kommunikation von Patienten mit dem eigenen Kundensupport in einem Cloudspeicher abgelegt hatte, ohne diesen zu verschlüsseln oder mit einem Passwort zu versehen.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Online Service Experience Packs: Microsoft testet weitere Update-Variante für Windows 11

Die Tests erfolgen im Developer Channel des Insider-Programms. Mit den Online Service Experience Packs sollen…

6 Stunden ago

Microsoft verteilt PC Health Check App an Windows 10

Die überarbeite Version bietet ein Dashboard zur Überwachung des Gerätezustands. Sie prüft auch weiterhin, ob…

6 Stunden ago

Neuer Webcast im Rahmen der Link11 Executive Talks: „Risiko Cyber-Angriff – So sichern Unternehmen ihre digitalen Werte“

Virtuelle Expertenrunde von Link11 mit Deloitte Deutschland, HORNBACH Baumarkt AG und dem LKA Rheinland-Pfalz über…

1 Tag ago

Enterprise und Cloud beflügeln AMDs drittes Quartal

AMD hat im dritten Quartal die Erwartungen von Analysten übertroffen. Zudem erhöhte der Chiphersteller seine…

1 Tag ago

Amazon Web Services erhält Cloud-Auftrag der britischen Geheimdienste

Amazons Cloud-Sparte schließt den Vertrag mit dem GCHQ. Er gilt aber auch für bestimmte Geheimdaten…

1 Tag ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Der Umsatz klettert um 41 Prozent auf 63,45 Milliarden Dollar. Die Google Cloud nimmt fast…

1 Tag ago