هک ۳۰۰ هزار حساب اسپاتیفای از طریق یک دیتابیس ناامن

هکرها با استفاده از یک دیتابیس شامل 380 میلیون اعتبارنامه‌ ورود به سیستم و اطلاعات شخصی، در پی دسترسی به حساب‌های اسپاتیفای بوده‌اند. آن‌ها توانسته‌اند با این دیتابیس بیش از 300 هزار حساب را هک کنند.

این دیتابیس توسط «vpnMentor» شناسایی شده که البته دستیابی به آن نتیجه نفوذ به اسپاتیفای نبوده است. در حال حاضر مبدا این اطلاعات کاربری و همچنین نحوه جمع‌‌آوری آن‌ها از منابع مختلف نامشخص است.

این داده‌های ورود به سیستم برای حمله‌ای به نام «Credential Stuffing» مورد استفاده قرار گرفته‌اند. در این حمله حجم بالایی از اعتبارنامه‌ها جمع آوری شده و از آن برای نفوذ به حساب‌های کاربری افراد در دیگر سرویس‌ها و وب‌سایت‌های اینترنتی استفاده می‌شود. در صورتی که کاربری در حال استفاده از اعتبارنامه‌های ورود یکسان برای سایت‌های مختلف باشد، هکرها حساب وی را هک خواهند کرد.

نزدیک به 300 تا 350 هزار حساب اسپاتیفای به وسیله این حمله مورد سوءاستفاده قرار گرفته‌اند و نام‌های کاربری، پسوردها و ایمیل‌های آن‌ها افشا شده‌ است. از آنجایی که با یک شبکه اجتماعی برای انتشار اطلاعات گمراه‌کننده روبه‌رو نیستیم و همچنین دیتای مالی افشا نشده، ظاهرا این حمله تنها برای دسترسی رایگان به حساب‌های پریمیوم و پولی صورت گرفته است.

این احتمال وجود دارد که هدف این حمله خود اسپاتیفای و نه کاربران بوده باشد. با دسترسی به صدها هزار حساب، هکرها می‌توانند عملکرد این سرویس استریم موسیقی را دستکاری کنند. برای مثال می‌توانند تعداد پخش یک موسیقی یا آهنگ‌های یک خواننده را افزایش دهند.

پس از اطلاع از این حمله سایبری در تابستان سال جاری، اسپاتیفای رمزهای عبور کاربران درگیر را ریست کرده، با این حال این سرویس باید هرچند وقت یکبار چنین اقدامی را برای تمام کاربران انجام دهد. حالا که چندین ماه از ریست پسوردها می‌گذرد، وجود اطلاعات در این دیتابیس برای حساب‌های اسپاتیفای بی‌ارزش هستند.

فرقی نمی‌کند این اطلاعات از کجا آمده‌اند و چه استفاده‌ای از آن‌ها شده است، اگر از حساب پریمیوم اسپاتیفای استفاده می‌کنید، اکنون زمان مناسبی برای ریست پسورد است.