spotify重置了大约35万个涉及数据泄露的密码

Spotify与研究人员合作,此前有报道称,一次凭证填充操作让许多客户面临风险。...

Spotify重新设置了35万个帐户的密码,此前研究人员在网上发现了一个包含3.8亿条记录的数据库,其中包括音乐流媒体服务的登录凭据。

security

spotify在凭证填充方案中的目标

由诺姆·罗特姆和拉恩·洛卡尔领导的vpnMentor研究小组声称发现了一种可能的操作。

凭证填充是从泄漏中获取用户名和密码,然后用于访问重用相同详细信息的其他帐户。

在一个网络地图项目中,研究小组发现了一个Elasticsearch数据库,其中包含超过3.8亿条记录,总计32GB。其中包含正在针对Spotify验证的登录凭据。

黑客行动的具体细节不得而知。数据库的起源以及Spotify是如何成为攻击目标的仍然是个谜。尽管如此,泄密确实来自没有加密数据的第三方,而不是Spotify本身。

spotify重置用户密码

vpnMentor在2020年7月3日发现了泄漏,然后在2020年7月9日对其进行了进一步审查。延迟的原因是,研究人员需要了解漏洞及其潜在影响,同时**一份每个阅读报告的人都能理解的报告。

在检漏之后,研究小组在同一天联系了Spotify。Spotify做出了回应,然后在2020年7月10日至7月21日期间采取了行动。

这涉及重置多达35万用户的密码。虽然与Spotify每月3.2亿活跃用户相比,这可能只是沧海一粟,但它的用户数量仍然相当可观。

数据库中包含的信息类型包括电子邮件地址、密码和居住国。

服务器IP地址也包括在泄漏中,不过vpnMentor注意到这些地址可能来自数据库所在的代理服务器,而不是单个用户。

如何保护自己

这些帐户面临风险的原因是,它们在多个服务中使用简单或重复的密码。

例如,数据库中的一条记录显示某人的密码是“spotify”。不需要天才就能弄明白为什么这可能是不安全的。

您应该始终为每个网站使用唯一的密码。密码管理器可以帮助您维护这一点,这样您就不需要依赖内存。

至少,确保您有长密码,不包含简单的单词,大小写不同,包含特殊字符,并且不包含有关您自己的信息。

  • 发表于 2021-03-29 10:05
  • 阅读 ( 178 )
  • 分类:互联网

你可能感兴趣的文章

7.11亿个电子邮件地址被在线spambot泄露

...如果泄露,您需要开始使用该电子邮件地址的任何服务的重置过程。记住尽可能多的账目很重要,但我明白这很难。首先更改任何与敏感信息相关的信息:持有财务数据的账户、借记卡和信用卡,等等。 ...

  • 发布于 2021-03-13 06:22
  • 阅读 ( 142 )

你是6900万被黑客攻击的dropbox用户之一吗?

... Dropbox发表声明,确认泄漏的数据来自2012年的漏洞,密码重置“保护所有受影响的用户……重置只影响2012年年中之前注册Dropbox的用户,自那以后就再也没有更改过密码。”他们还评论说,他们采取的行动“保护了所有受影响的...

  • 发布于 2021-03-17 17:23
  • 阅读 ( 208 )

什么是凭证填充攻击?

...左右。这意味着,每测试一百万个登录凭据,就只能使用大约1000个凭据进入其他网站。但让他们的努力值得的是,他们可以从他们渗透到的每个账户收集数据的金矿。 ...

  • 发布于 2021-03-29 01:50
  • 阅读 ( 268 )

spotify在公开客户信息后重置密码

Spotify在向一些业务合作伙伴意外泄露了包括姓名、密码和出生日期在内的客户信息后,不得不重置一些用户的密码。该漏洞自4月以来就存在,但直到11月才被发现。 ...

  • 发布于 2021-03-29 02:54
  • 阅读 ( 269 )

如何更改或重置spotify密码?

就像你的其他在线账户一样,你当然不希望你的Spotify个人资料被黑客入侵。无论您怀疑有人闯入了您的帐户,还是只是想刷新您的密码使其更强大,更改您的Spotify密码都很容易。 ...

  • 发布于 2021-03-29 15:35
  • 阅读 ( 635 )

每日新闻综述:slack将重置一些用户密码

Slack正在重置一些用户密码,因为很明显黑客在之前的一次入侵中窃取了这些密码。黑客在2015年入侵了Slack的系统,复制了加密密码,并在用户输入密码时安装了记录明文密码的代码。 2015年,Slack发现黑客入侵了其系统。黑客...

  • 发布于 2021-04-03 08:29
  • 阅读 ( 198 )

什么是cloudflare,它真的把我的数据泄露到互联网上了吗?

...数据被一些搜索引擎索引和缓存(根据Cloudflare的数据,大约有700页),因此如果你知道在Google上搜索什么,你就可以从特定泄漏时登录的用户那里找到敏感数据。 这个错误大约有五个月没有被发现,本周被发现后就被修补了...

  • 发布于 2021-04-08 06:59
  • 阅读 ( 137 )

为什么每次服务的密码数据库泄露时都要担心

...但他们没有对密码进行加密,所以LinkedIn在2012年丢失了650万个哈希密码,这是一件大事。 错误的密码操作 这并不是最难实现的事情,但许多网站仍然以各种方式将其搞糟: 以明文形式存储密码:一些最严重的违规者可能只会...

  • 发布于 2021-04-08 14:27
  • 阅读 ( 177 )

gab指责有报道称“恶魔黑客”被黑客攻击了4000万个帖子

...兴项目”,实施了这一黑客攻击,以暴露Gab的用户。来自大约15000名Gab用户的私人信息被用来创建一个包含4000多万条来自该网站的帖子(包括私人帖子)的数据集。用户配置文件、一些用户的散列密码和组密码也受到黑客攻击的...

  • 发布于 2021-04-15 23:16
  • 阅读 ( 191 )

在420000个帐户被泄露后,formspring将禁用所有用户密码

...寻常的步骤,即当每个用户重新登录到站点时,强制他们重置密码。由于Formspring去年初报告了超过2000万注册会员,而且我们还没有听到任何关于散列密码实际被泄露或与其他帐户数据相关联的报告,因此对于目前泄露的内容来...

  • 发布于 2021-04-23 03:02
  • 阅读 ( 66 )
国服第一收割
国服第一收割

0 篇文章

相关推荐