如果您习惯在多个网站服务使用相同的帐密,那就要特别留意了。据 VPN 服务评测网站 vpnMentor 调查,日前在 Elasticsearch 服务器的 3.8 亿笔记录中发现,有多达 35 万 Spotify 用户的电子邮件和登入凭证等资料遭泄,原因可能与骇客窃取资料并以凭证填充攻击有关。
vpnMentor 调查指出,用户凭证资讯外泄并非源自 Spotify,而是来路不明的第三方所为。在 vpnMentor 与 Spotify 合作下,推测握有 Spotify 用户凭证资料的第三方,很可能是从其他网站或平台服务不当取得,或有其他来源泄露,然后再将获取资料对 Spotify 采取凭证填充攻击(credential stuffing attacks)。
▲(Source: vpnMentor)
凭证填充攻击又称帐密填充攻击,指的是骇客窃取某服务大量账号密码后,再以自动化方式尝试侵入其他网站服务,也就是利用许多使用者在不同网站上重复使用相同帐密的弱点,以窃取来的资料侵入并盗用账号、恶意使用。
这次总计约 30 万至 35 万 Spotify 用户受到影响,包括账户使用者名称、密码、电子邮件等资料都遭到外泄。Spotify 也在这起事件发生后,立即通知用户重设密码,使该 Elasticsearch 服务器上所存放的帐密凭证失效。若要防止账户资讯外泄和凭证填充攻击,建议用户得在不同服务使用不相同的密码,避免骇客恶意窃取使用。
- Report: Spotify Targeted in Potential Fraud Scheme
- Data Stuffing Attack Nabbed Around 300,000 Spotify Accounts
(首图来源:《科技新报》摄)
延伸阅读:
- 加强投资 Podcast 音频服务,Spotify 收购代管平台 Megaphone
- Spotify Q3 订户达 1.44 亿人,但营收逊预期
- 反对 App Sore 小型企业计划,EPIC、Spotify 高层斥苹果分化开发者