Die Forscher entdeckten die Datenbank, da sie ungesichert über das Internet erreichbar war. Sie enthielt über 380 Millionen einzelne Datensätze, einschließlich Anmeldeinformationen, die zum Einbruch in 300.000 bis 350.000 Spotify-Konten eingesetzt wurden. Die Datensätze enthielten noch eine Vielzahl von weiteren vertraulichen Informationen Benutzernamen und Passwörter von Personen, E-Mail-Adressen und Wohnsitzländer.
Der Datenschatz war auf einem ungesicherten Elasticsearch-Server gespeichert, der von vpnMentor entdeckt worden war. Sowohl der Ursprung als auch die Besitzer der Datenbank sind unbekannt. Allerdings bekamen die Forscher die Echtheit der Daten von Spotify bestätigt. Man teilte mit, dass die Informationen bei Betrugsversuchen gegen das Unternehmen und seine Benutzer verwendet worden sind.
Credential-Stuffing-Angriffe sind automatisierte Angriffe, bei denen Bots versuchen mit gestohlenen Anmeldeinformationen sich Zugang zu Webseiten oder Diensten zu verschaffen. Dabei werden häufig bei anderen Datenleaks gestohlene Anmeldedaten verwendet. Die Bots probieren und variieren die Anmeldedaten so lange, bis sie eine richtige Kombination aus „alten“ Zugriffsdaten und einer neuen angegriffenen Website finden und den Zugang erlangen. Der Einsatz von Multi-Faktor-Authentifizierung verringert normalerweise signifikant die Erfolgswahrscheinlichkeit solcher Methoden, allerdings wird diese Option von Spotify nicht unterstützt.
Das Forscherteam kontaktierte den schwedischen Audio-Streaming-Riesen am 9. Juli unmittelbar eine Antwort. Das Problem wurde dann von Spotify innerhalb von elf Tagen, zwischen dem 10. und 21. Juli, behoben. Die betroffenen Benutzer mussten ihre Passwörter ändern.
"Dieser Vorfall ging nicht von Spotify aus. Die exponierte Datenbank gehörte einem Drittanbieter, der sie zum Speichern von Spotify-Anmeldeinformationen verwendete. Diese Anmeldeinformationen wurden höchstwahrscheinlich illegal beschafft oder sind möglicherweise aus anderen Quellen geleaked worden, die für Credential-Stuffing-Angriffe auf Spotify genutzt wurden “, erklärten die Forscher.
Der anhaltende Erfolg von Credential-Stuffing-Angriffen kann größtenteils auf eine schlechte Passworthygiene von Benutzern zurückgeführt werden. Leider neigen immer noch viele Menschen dazu einen der Kardinalsfehler der Passwort-Erstellung zu begehen. Dazu gehören das Recycling von Passwörtern oder auch das Teilen von Zugangsdaten mit anderen Personen. Auch die Liste der häufigsten verwendeten Passwörter zeigt mit Top-Einträgen wie „123456“ und „123456789“ immer wieder eindrucksvoll, wie leichtsinnig Menschen mit ihren Accounts umgehen.
Zum Schutz ihrer Onlineaccounts und vertraulichen Daten sollten Sie zuerst ein sicheres und eindeutiges Passwort oder, noch besser, eine Passphrase festlegen. Der Einfachheit halber können Sie einen Passwort-Manager zur Speicherung ihrer Passwörter verwenden. Dieser generiert außerdem im Handumdrehen neue, sichere Passwörter und erfordert nur, dass sie sich ein Hauptpasswort merken müssen. Die nächste Sicherheitsebene bildet die Multi-Faktor-Authentifizierung, sie sorgt für eine signifikante Verbesserung des Schutzniveaus und sollte überall wo es möglich ist aktiviert werden.