Eine Datenbank mit mehr als 350.000 verifizierte Spotify-Benutzerkonten auf einem Online-Server ohne Kennwort. Die Liste mit ca. 72 GB wurde von Noam Rotem und Ran Locar, Sicherheitsforscher bei vpnMentor, gefunden.
Laut den Forschern verwendeten Cyberkriminelle Techniken zum Füllen von Anmeldeinformationen, um eine Datenbank mit zu erstellen verifizierter Benutzername und Passwort sowie E-Mail und Wohnsitzland. Insgesamt 380 Millionen (mehr als 72 GB) separate Datensätze, die auf einem ungeschützten Elasticsearch-Server gehostet wurden.
Das Ausfüllen von Anmeldeinformationen oder das Ausfüllen von Anmeldeinformationen ist ein einfacher Angriff, bei dem ein Cyberkrimineller versucht, sich bei mehreren Systemen mit demselben Kennwort anzumelden, das von einem bestimmten Dienst durchgesickert ist. Dies betrifft nur Personen, die dasselbe Kennwort für verschiedene Onlinedienste verwenden. Beispiel: Wenn Sie versehentlich Ihre Zugangsdaten für einen bestimmten Dienst verlieren und dasselbe (oder ein sehr ähnliches) Kennwort verwenden, um sich bei anderen Websites, Apps oder Systemen anzumelden, versuchen Cyberkriminelle möglicherweise, dieses durchgesickerte Kennwort für den Zugriff auf andere Dienste zu verwenden.
In diesem Fall haben Cyberkriminelle alte Lecks angeeignet, um eine Liste von Benutzern zu erstellen, die dasselbe Kennwort verwenden, das für Spotify durchgesickert ist. Das ist, In der Spotify-App wurden keine Sicherheitslücken ausgenutzt. Die Liste wurde basierend auf anderen Lecks erstellt und online ohne Passwort gefunden, das jedem zugänglich ist, der Zugang zum Internet hat.
„Der Vorfall stammt nicht von Spotify. Die exponierte Datenbank gehörte einem Dritten, der sie zum Speichern von Spotify-Anmeldeinformationen verwendete. Diese Anmeldeinformationen wurden wahrscheinlich illegal bezogen oder sind möglicherweise aus anderen Quellen durchgesickert, die für Angriffe zum Ausfüllen von Anmeldeinformationen gegen Spotify wiederverwendet wurden “, so die Forscher in einem Beitrag im Blog des Unternehmens.
Die Forscher berichten, dass sie die kontaktiert haben Spotify, das ein “kontinuierliches Zurücksetzen” von Passwörtern für alle betroffenen Benutzer initiierte, Löschen der exponierten Informationen. Darüber hinaus liegt dieses Problem normalerweise nicht in der Verantwortung von Unternehmen, da diese nicht steuern können, wie Benutzer ihre Kennwörter erstellen. „Unternehmen können dies nicht verhindern Kontrollieren Sie keine Passwörter, die Verbraucher online verwenden (und wiederverwenden)”, Kommentieren die Forscher.
Bei einem routinemäßigen Unternehmens-Web-Scan wurde festgestellt, dass die Datenbank vollständig ungeschützt und unverschlüsselt ist. „Wir konnten darauf zugreifen [banco de dados] über den Browser und bearbeiten Sie die URL-Suchkriterien, um jederzeit einzelne Indexschemata verfügbar zu machen. “
In dem Bericht berichten die Forscher, dass Es gibt keine Möglichkeit zu wissen, wer auf die Daten zugegriffen hat und auch die möglichen Auswirkungen eines solchen Vorfalls erörtern, der auf Finanzbetrug hinausläuft; Identitätsdiebstahl; Malware- und Phishing-Angriffe.
Quelle: vpnMentor.
See the original post at: https://thehack.com.br/spotify-mais-de-350-mil-contas-foram-encontradas-em-banco-de-dados-desprotegido/?rand=48891
