Klare Warnung
Spotify kann man in diesem Zusammenhang bestenfalls vorwerfen, das Prüfskript nicht besser erkannt und ausgebremst zu haben. Denn es dürfte selbst bei einem Angebot dieser Größe zu Auffälligkeiten führen, wenn riesige Mengen an Logins überprüft werden. Als Diachenko seinen Fund meldete, reagierte das Unternehmen aber umgehend und glich die Datensammlung mit den eigenen Nutzerdaten ab. Betroffene Kunden-Accounts wurden gesperrt und die regulären User benachrichtigt, dass sie ihr Passwort zurücksetzen müssen.Der Sicherheitsforscher stieß wohl auch nicht allein auf die Sammlung. So berichteten betroffene Nutzer davon, dass auf ihren Accounts plötzlich seltsame Playlisten erstellt und Musik gehört wurde, die sie selbst überhaupt nicht kannten. Zumindest gibt es bisher keine Erkenntnisse über schwerer wiegende Folgen. Allerdings ist anzunehmen, dass Credential Stuffing-Angriffe auch auf Dienste gefahren werden, bei denen es zu weitergehenden Problemen kommen kann - etwa weil Geldtransfers von fremden Konten möglich werden.