Datenleck: Hunderttausende Spotify-Zugangsdaten ungeschützt im Netz entdeckt

Kriminelle haben eine Datenbank mit über 300.000 Spotify-Zugangsdaten ungeschützt im Internet betrieben.

Spotify erhöht sein Offline-Download-Limit in der jüngsten Version auf 10.000 Songs. dpa/Britta Pedersen

In einer ungeschützten Elasticsearch-Datenbank hat ein Forscherteam die Zugangsdaten von über 300.000 Spotify-Nutzenden gefunden. Die Entdecker, Noam Rotem und Ran Locar von der VPN-Bewertungsseite VPNmentor.com, vermuten, dass die Zugangsdaten mit Credential-Stuffing-Angriffen ermittelt wurden. Spotify hat die Betroffenen auf den Vorfall hingewiesen und zu einer Änderung ihrer Zugangsdaten aufgefordert.

Die Datenbank stamme nicht von dem Musikstreamingdienst Spotify selbst, sondern vermutlich von Kriminellen, welche die rund 72 GByte umfassende Datenbank mit 380 Millionen Einträgen ungeschützt im Internet gelassen hätten, erklärt VPNmentor. In der Datenbank entdeckte das Forscherteam die über 300.000 verifizierten Spotify-Zugangsdaten sowie die Länder, in denen diese verwendet wurden. Spotify wird von rund 300 Millionen Personen aktiv genutzt.

 

VPNmentor vermutet, dass die Zugangsdaten über sogenannte Credential-Stuffing-Angriffe erlangt wurden. Hierbei werden Zugangsdaten, die beispielsweise über ein Datenleck oder einen Hack erlangt wurden, bei verschiedenen Anbietern ausprobiert. Da Internetnutzende dazu neigen, die gleichen Passwörter, meist mit der gleichen E-Mail-Adresse, bei verschiedenen Diensten zu nutzen, ist Credential Stuffing nach wie vor eine sehr erfolgreiche Angriffsmethode.

Social-Engineering-Angriffe denkbar

Kriminelle könnten mit den Zugangsdaten beispielsweise die bezahlten Spotify-Konten mitnutzen. Zudem könnten die Daten für Social Engineering verwendet werden. Betroffenen könnten beispielsweise gefälschte Rechnungen von Spotify gesendet werden oder sie könnten dazu gebracht werden, Schadsoftware zu installieren. Die ungeschützte Datenbank hätte zudem von Dritten entdeckt und missbraucht werden können, betont VPNmentor. Die Zugangsdaten könnten zudem bei anderen Diensten ausprobiert werden.

Datenleck wurde im Juli an Spotify gemeldet

Entdeckt wurde die Datenbank bereits am 3. Juli 2020, an Spotify gemeldet wurde sie am 9. Juli. VPNmentor hat den Fund jedoch erst jetzt veröffentlicht. Betroffene, die eine Warnung von Spotify erhalten haben, sollten ihre Zugangsdaten umgehend ändern. Verwenden sie das gleiche Passwort auch bei anderen Diensten, sollte auch dort ein neues Passwort verwendet werden. Unabhängig davon ist es wichtig, für jeden Dienst ein individuelles, sicheres Passwort zu verwenden. Zudem empfiehlt es sich, die Zwei-Faktor-Authentifizierung von Spotify zu verwenden.

Dieser Artikel wurde verfasst von Moritz Tremmel