安全研究人员宣布,发现了一个数据库,该数据库为被黑客窃取并存储在没有任何密码的云服务器上的Spotify用户提供了至少350,000个密码,任何想要访问该数据库的人都可以使用他们。
来自安全网站vpnMentor的研究人员Ran Locar和Noam Rotem致力于一个扫描互联网中不受保护数据的项目,发现了这个庞大的数据库,该数据库也可能已被其他黑客发现并复制。
Locar在CNET网站的一次采访中警告说,选择帐户密码时应遵循的基本原则:“最终用户的教训是:不要回收您的密码。最终,其中之一将被暴露。”对他来说,在多个站点和应用程序中重复使用相同的密码是最危险的事情之一,因为它会暴露您的所有登录信息。
获得Spotify密码的黑客无需破坏流服务的系统。密码的捕获仅取决于先前漏洞中盗取的登录缓存,并且一点耐心地对其进行逐一测试。
据CNET称,攻击者之所以成功,仅仅是因为Spotify帐户持有人正在重用他们在互联网上拥有的其他帐户的密码,这是一个基本的安全错误。黑客只是使用一种称为凭证填充的技术,对音乐服务中的组合进行了实验。
目前尚不清楚黑客使用15万个被盗密码在做什么。这些帐户通常以折扣价出售给其他用户,或者被欺诈地用于提高某些歌曲的性能。Spotify已经请求为所有受影响的用户重置密码。