披露:
专业评论

VPnmentor包含由我们的社区审核人员撰写的评论,并根据审阅者的独立和专业审查产品/服务。

•所有权

VPnmentor由Kape Technologies PLC拥有,拥有以下产品:Cyber​​Ghost,Zenmate,私人互联网接入和Intego,可以在本网站上进行审核。

•联盟委员会

虽然VPnmentor可以在使用我们的链接进行购买时收到佣金,但这对评论内容或审查的产品/服务没有影响。我们提供直接链接,以购买作为附属计划的一部分的产品。

•评论指南

VPnmentor上发布的审查由专家撰写,根据我们的严格审查标准来检查产品。此类标准确保每次审查都基于对审核人的独立,专业和诚实的审查,并考虑了产品的技术能力和品质,以及用户的商业价值,也可能影响该产品在网站上的排名。

报告:Spotify潜在欺诈计划

由NOAM ROTEM和RAN LOCAR领导,vpnmentor.研究团队已发现可能的凭证填充操作,其起源是未知的,但这影响了一些也有Spotify帐户的在线用户。凭证填充是一种黑客技术,可利用消费者使用的弱密码 - 并且经常重新使用 - 在线。

我们挖掘了一个弹性研究数据库包含超过3.8亿条记录,包括登录凭据和其他用户数据正在针对Spotify服务验证。

数据库的起源以及欺诈者如何定位Spotify都是未知的。黑客是可能使用从另一个平台,应用程序或网站偷来的登录凭据并使用它们访问Spotify帐户。

使用Spotify,我们确认数据库属于使用它来欺骗Spotify及其用户的组或个人。我们还帮助公司隔离问题,并确保其客户免受攻击。

事件摘要

公司有针对性的 Spotify.
公司总部 瑞典斯德哥尔摩
行业 音乐流和媒体
千兆字节的数据大小和记录数量 72 GB; 380百万个记录
怀疑没有。用户 300,000 - 350,000
日期范围/时间轴 未知
地理范围 未知
暴露的数据类型 电子邮件地址;登录凭据(用户名和密码)
潜在影响 身份盗窃& Fraud;诈骗,网络钓鱼和恶意软件;帐户滥用。凭证填充
数据存储格式 打开和未加密的Elasticsearch Server;公开了MySQL服务器

公司简介

Spotify.可能是世界上最受欢迎的音乐和音频媒体流服务,2020年有超过29900万活跃的月度用户。

该公司成立于2006年瑞典斯德哥尔摩,并于两年后推出的Spotify App的第一个版本,拥有600万首歌曲,可在多年来迅速增长。

Spotify.于2018年4月在公开上市,跳过传统的IPO并在纽约证券交易所进行直接上市。该公司的股票价格最近飙升,自2020年3月起的价值增值加倍,最有可能由于在锁定下的听众困扰着听众而增加。

发现和调查时间表

  • 发现日期:7月3日,2020年(7月9日审核)
  • date spotify联系:7月9日,2020年
  • 响应日期:7月9日,2020年
  • 行动日期:7月10日至7月21日之间

有时,数据违规的程度和数据的所有者是显而易见的,并且问题很快就解决了。但罕见的是这些时间。最常见的是,我们需要几天的调查,并在理解股权或泄露数据时。

了解违规行为及其潜在影响程度谨慎和时间。我们努力发布准确和值得信赖的报告,确保每个读它们的人都了解他们的严重性。

一些受影响的各方否认事实,无视我们的研究,或者发挥其影响。所以,我们需要彻底和确保我们发现的一切都是正确的准确性。

我们发现了什么

在这种情况下,事件没有来自Spotify。公开的数据库属于使用它来存储Spotify登录凭据的第三方。这些凭据最有可能被非法或可能从其他来源泄露这是为了凭证对Spotify的凭证攻击。

在我们调查中,我们联系Spotify以呈现我们的初始调查结果。我们得出结论,谁拥有数据库可能从外部站点获得了登录凭据,并在Spotify帐户上使用它们。

这是网络犯罪分子使用的常见策略,以获取像Spotify这样的流行平台上的私人账户,以及公司的东西 - 在过去,在过去曾处理过在线使用这么多消费者普遍使用弱密码。公司无法阻止这种情况发生,因为它们不会控制消费者在线使用(并重新使用)的密码。但是,他们可以通过帮助用户重新控制他们的帐户并通过用户推广更安全的密码实践来发挥作用,这是在这种情况下发现的。

回应我们的询问,spotify为所有受影响的用户发起的密码的“滚动重置”。因此,数据库中的信息将无效并无用。

我们在数据库中找到了什么

有问题的数据库包含超过72 GB的数据,总计380万百万个人的记录,并托管在不安全的Elasticsearch Server上。

数据库的起源以及欺诈者如何定位Spotify都是未知的。黑客可能使用从另一个平台,应用程序或网站偷来的登录凭据,并使用它们访问Spotify帐户。

暴露的数据示例

许多包含的数据库记录有关潜在Spotify用户的信息,例如他们个人身份信息(PII)数据和Spotify登录凭据。

这包括:

  • 帐户用户名和密码验证Spotify
  • 电子邮件地址
  • 居住国家

泄漏中还有许多服务器IP地址。但是,这些最有可能来自属于托管数据库的网络运营商的代理服务器。

以下屏幕截图演示了某人的PII数据和登录凭据是如何暴露的。在这种情况下,他们的Spotify帐户密码只是“spotify”。

事件的潜在影响

暴露的数据库可以在许多犯罪计划中使用,不仅仅是由建造它的欺诈者,而且还由任何发现数据库的恶意黑客,正如我们所做的那样。

这些各方中的任何一个都可以使用公开的PII数据通过他们的社交媒体账户来识别Spotify用户。

有了这些信息,犯罪分子可以追求欺诈和黑客Spotify用户的几项活动。

金融欺诈和身份盗窃

欺诈者可以使用公开的电子邮件和泄漏的名称识别其他平台和社交媒体帐户的用户。通过这些信息,他们可以在全球范围内建立复杂的用户,并针对许多形式的金融欺诈和身份盗窃来定位它们。

网络钓鱼骗局和恶意软件

欺诈者还可以使用联系信息直接针对具有网络钓鱼电子邮件的公开用户,将它们欺骗为提供信用卡详细信息等敏感数据,或单击嵌入恶意软件的假链接。通过模仿这些电子邮件中的Spotify,在这种广告系列中可能会非常成功。

账户滥用

欺诈者可以使用被盗凭据访问用户的帐户并利用原始用户支付的数字服务(例如,Spotify的优质服务层)。

外部账户收购

许多受影响的用户可能在众多平台,应用程序和私有在线帐户中重用用户名,密码和电子邮件地址。

使用一组PII数据和登录凭据,欺诈者可以通过登录具有相同详细信息的帐户来定位用于黑客攻击的其他流行平台。这是一种普遍的欺诈形式,往往非常成功。

专家的建议

如果Spotify联系以更改密码,我们建议您按照所提供的说明进行操作。如果您在任何其他账户上重新使用Spotify密码,请立即更改以保护它们免受黑客攻击。我们建议使用密码生成器要为您拥有的每个私有帐户创建唯一,强密码,并定期更改它们。

您还可以使用我们的密码表确保您当前的密码足够强大。

要了解数据漏洞,请阅读我们的在线隐私的完整指南.

它向您展示了网络犯罪分子目标互联网用户的许多方式以及您可以保持安全的步骤。

我们如何以及为什么发现违规行为

VPnmentor Research团队发现了数据库,作为巨大的Web映射项目的一部分。我们的研究人员使用端口扫描来检查特定的IP块并测试不同的系统以获取弱点或漏洞。他们检查每个被泄露的数据的每个弱点。

我们的团队能够访问此数据库,因为它是完全不安全和未加密的。

欺诈者正在使用Elasticsearch数据库,这些数据库通常不是用于URL使用。但是,我们能够通过浏览器访问它,并在任何时间操纵URL搜索条件从单个索引中的曝光模式。

每当我们找到数据泄露时,我们使用专家技术来验证数据库的所有者,通常是商业业务。

作为道德黑客,当我们的研究发现可能影响其用户的问题时,我们有义务通知一家公司。在这种情况下,我们致力于发现旨在为其用户提供潜在欺诈行为。

这些道德也意味着我们对公众承担责任。Spotify.用户必须意识到尝试公开敏感数据,即使它没有来自Spotify。

此Web映射项目的目的是提供帮助让互联网更安全为所有用户。

我们从不销售,商店或公开任何信息我们在安全研究期间遇到。

关于我们和之前的报告

vpnmentor.是世界上最大的VPN审查网站。我们的研究实验室是一项促进BONO服务,努力帮助在线社区在教育组织保护其用户数据时捍卫网络威胁。

我们的道德安全研究团队已经发现并披露了近年来一些最有影响力的数据泄漏。

这包括一个巨大的数据泄漏暴露全球数百万免费VPN用户的数据。我们还透露了一群约会应用程序会损害其用户的隐私和安全性。你也可能想读过我们的VPN泄漏报告和数据隐私统计报告.

帮助我们保护互联网!

引入泄漏箱

泄漏盒托管在黑色web上 允许道德黑客匿名报告他们在网上找到的任何数据泄露。或者,任何人都可以在这里提交违规行为在VPnmentor上,任何时候,来自任何地方,不影响您的隐私。

Check the Leak Box here >>

[出版日期:23.11.2020]

关于作者

为VPnmentor写的匿名专家,但保留他们的身份秘密。

你喜欢这篇文章吗?评分!
我讨厌它! 我真的不喜欢它 这个还行吧 非常好! 爱它!
投票赞成 用户
感谢您的反馈意见
评论 注释必须是5到2500个字符。