Honderdduizenden gestolen Spotify-wachtwoorden ontdekt op server

24/11/2020 15:17 Laatst geüpdatet 17/03/2021 18:44 reacties in Apps

Beveiligingsonderzoekers hebben de wachtwoorden van honderdduizenden Spotify-gebruikers ontdekt op een server. Het gaat om gestolen wachtwoorden die in handen waren van fraudeurs. Spotify heeft de wachtwoorden van getroffen gebruikers gereset.

Gestolen Spotify-wachtwoorden

Beveiligingsonderzoekers van VpnMentor hebben Spotify op de hoogte gebracht van een grootschalige diefstal van de accountgegevens van gebruikers. Op een open server die in handen was van kwaadwilligen zijn zo’n 300.000 à 350.000 wachtwoorden ontdekt die tot Spotify-gebruikers behoorden. De streamingdienst heeft al getroffenen op de hoogte gebracht en zij moeten nu hun wachtwoord opnieuw instellen.

De open server bevatte een zoekmachine waarmee je vlot door de verschillende gegevens kon zoeken, en hij werd al in juli door de onderzoekers ontdekt. In totaal waren er meer dan 380 miljoen persoonlijke gegevens gevonden, en dat gaat van e-mailadressen tot wachtwoorden en informatie over het land waar gebruikers wonen. In totaal gaat het om 72 GB aan data, en die gegevens zijn op illegale wijze verkregen of via andere partijen gelekt.

Credential stuffing

VpnMentor heeft verder ontdekt dat hackers een zogenaamde credential stuffing aanval hebben uitgevoerd op Spotify. Dat is een aanval waarbij kwaadwilligen een heleboel inloggegevens automatisch proberen te doen werken op Spotify in de hoop om succesvol te kunnen inloggen. Ze gebruikten inloggegevens die gebruikers ook op andere platformen gebruiken, en het is niet bekend wie er achter de aanval zat.

Apple over Facebook: verzamelt zoveel mogelijk data en negeert privacy

Het is dan ook aangewezen om voor elk account een uniek wachtwoord te gebruiken en dat kan via een wachtwoordmanager zoals bijvoorbeeld het nieuwe Dropbox Passwords. Een andere manier waarmee je je tegen dit soort van aanvallen kan beschermen is door gebruikte maken van tweestapsverificatie. In dat geval is alleen een wachtwoord niet voldoende voor de hackers om zich te identificeren.