\r\n\r\n
Spotifyは、研究者が音楽ストリーミングサービスのログイン情報を含む3億8000万件の記録のデータベースをオンラインで発見した後、35万件のアカウントのパスワードをリセットしました。
Noam RotemとRahn Lokarが率いるvpnMentor研究チームは、可能な操作を発見したと主張している。
クレデンシャルパディングは、漏洩したユーザー名とパスワードを取得し、同じ内容を再利用する他のアカウントにアクセスするために使用されます。
あるウェブマッピングのプロジェクトで、チームは3億8000万件以上、合計32GBのレコードを含むElasticsearchデータベースを発見し、そこにはSpotifyに対して検証されているログイン情報が含まれていました。
ハッキングの正確な内容は不明です。データベースの出所やSpotifyがどのように狙われたかは、まだ謎のままです。とはいえ、今回の流出はSpotify自身ではなく、データを暗号化していない第三者によるものでした。
vpnMentorは2020年7月3日に流出を発見し、その後、2020年7月9日にさらに検証を行いました。この遅延は、研究者が脆弱性とその潜在的な影響を理解し、**誰が読んでも理解できるような報告書を作成する必要があったためである。
リークチェック後、調査チームは同日中にSpotifyに連絡し、spotifyはこれに応じ、その後2020年7月10日から7月21日にかけて対応を行いました。
これには、最大35万人のユーザーのパスワードをリセットすることが含まれます。Spotifyの月間アクティブユーザー数3億2,000万人に比べれば大海の一滴かもしれませんが、それでも相当なユーザー数であることに変わりはありません。
データベースに含まれる情報の種類は、電子メールアドレス、パスワード、居住国などです。
サーバーのIPアドレスも漏えいに含まれますが、vpnMentorは、これらは個々のユーザーからではなく、データベースが配置されているプロキシサーバーから来る可能性があることを指摘しています。
これらのアカウントは、複数のサービスに対して単純なパスワードや重複したパスワードを使用しているため、危険にさらされているのです。
例えば、ある人のパスワードが "spotify "であることを示すデータベースのレコードがあります。これがなぜ不安なのか、天才でなくともわかるだろう。
パスワードは、サイトごとに常に一意のものを使用する必要があります。パスワードマネージャーを使用すれば、記憶に頼ることなく、これを管理することができます。
少なくとも、単純な単語を含まない、大文字と小文字が異なる、特殊文字を含む、自分に関する情報が含まれていない、長いパスワードを設定するようにしましょう。