Spotify: Erneut liegen hunderttausend Logins offen im Netz herum

Entdeckt wurde die Sammlung von Bob Diachenko, der seinen Fund auch an Spotify meldete. Wie er ausführte, bestand die Datenbank aus rund hunderttausend funktionierenden Zugangsdaten zu dem Service. Diese wurden allerdings nicht bei Spotify gestohlen, sondern im Rahmen eines so genannten Credential Stuffing-Angriffs zusammengetragen. Dabei verlassen sich die Täter darauf, dass viele Nutzer die gleichen Zugangsdaten für diverse Online-Angebote nutzen. Sie beschaffen sich hier also bereits existierende Sammlungen aus anderen Quellen und führen mit einem Skript Prüfungen durch, welche Logins auch bei Spotify funktionieren. Auf diese Weise stellten sie die nun gefundene Datenbank zusammen. Warum die Daten allerdings frei im Netz standen, ist unklar.

Klare Warnung

Spotify kann man in diesem Zusammenhang bestenfalls vorwerfen, das Prüfskript nicht besser erkannt und ausgebremst zu haben. Denn es dürfte selbst bei einem Angebot dieser Größe zu Auffälligkeiten führen, wenn riesige Mengen an Logins überprüft werden. Als Diachenko seinen Fund meldete, reagierte das Unternehmen aber umgehend und glich die Datensammlung mit den eigenen Nutzerdaten ab. Betroffene Kunden-Accounts wurden gesperrt und die regulären User benachrichtigt, dass sie ihr Passwort zurücksetzen müssen.

Der Sicherheitsforscher stieß wohl auch nicht allein auf die Sammlung. So berichteten betroffene Nutzer davon, dass auf ihren Accounts plötzlich seltsame Playlisten erstellt und Musik gehört wurde, die sie selbst überhaupt nicht kannten. Zumindest gibt es bisher keine Erkenntnisse über schwerer wiegende Folgen. Allerdings ist anzunehmen, dass Credential Stuffing-Angriffe auch auf Dienste gefahren werden, bei denen es zu weitergehenden Problemen kommen kann - etwa weil Geldtransfers von fremden Konten möglich werden.

Siehe auch: