Skip to main content

Tausende von Spotify-Accounts gehackt – hier ist alles, was du wissen musst

spotify
(Image credit: George Dolgikh / Shutterstock.com)

Tausende von Spotify-Nutzern werden nach einer großen Cyberattacke auf den Streaming-Dienst darauf hingewiesen, ihre Sicherheitseinstellungen zu überprüfen.

Die Musik-Streaming-Plattform wurde Berichten zufolge Ziel eines „Credential Stuffing“-Angriffs, der es Hackern ermöglichen könnte, Nutzerkonten zu übernehmen, Playlist und Profile zu stören. Die Datenbank der Angreifer umfasst 300 Millionen Einträge.

Angriffe wie diese verwenden Login-Daten und persönliche Informationen, die bei anderen Datenlecks gesammelt worden sind, um Zugriff auf bestimmten Plattformen zu verschaffen.

Spotify-Account-Hack

VPNMentor zeigt in einem Bericht, wie eine Datenbank mit über 380 Millionen Einträgen dafür verwendet wird, Spotify-Accounts zu hacken. Sowohl die App, als auch der Webplayer sind betroffen.

Die betroffene Elasticsearch-Datenbank, von der man glaubt, sie sei von einem Drittanbieter und nicht Spotify-intern, umfasst 72 GB Daten von Spotify-Nutzern, einschließlich Benutzernamen, E-Mail-Adressen, Passwörtern und einem Hinweis darauf, ob diese Informationen den Zugriff auf einen Account erlauben.

Es ist nicht geklärt, wie die Datenbank erstellt wurde, aber üblicherweise werden Quellen wie diese nach großen Datenlecks oder Cyberangriffen auf andere Ziele gesammelt, bevor sie entweder kostenlos, oder zahlungspflichtig im Dark Web veröffentlicht werden.

VPNMentor fügt hinzu, dass die Datenbank „völlig ungesichert und unverschlüsselt“ sei, was auf ersteres schließen lässt. Das Team konnte auf die Informationen im Browser aus zugreifen und „jederzeit die Suchkriterien einer URL so manipulieren, dass sie die Schemata eines einzigen Index preisgeben“ würden.

VPNMentor erklärt, dass es Spotify am 9. Juli kontaktiert hätte und sich das Unternehmen fast augenblicklich zurückgemeldet hätte.

„Als Antwort auf unsere Anfrage leitete Spotify einen „rolling reset“ von Passwörtern aller betroffenen Nutzer ein. Dadurch würden die Informationen in dieser Datenbank ungültig und wertlos gemacht“, erklären die Forscher.

Spotify fügt hinzu, dass alle kompromittierten Accounts im Juli einen Passwort-Reset erhalten hätten und Nutzer angeleitet wurden, ihre Login-Daten zu ändern, falls sie es noch nicht getan haben. Falls sie ihr Spotify-Passwort auf anderen Accounts benutzten sollten sie es dort auch umgehend ändern, um sicherzugehen, dass keine Schwachstellen bleiben.

Via Bleeping Computer