В открытом доступе обнаружили данные более 300 тысяч пользователей сервиса Spotify

Об этом сообщает новостной ресурс ZDNet.

Базу данных Elasticsearch объемом 72 Гбайт обнаружили в открытом доступе исследователи из vpnMentor Ноам Ротем и Ран Локар.

База находилась в незашифрованном виде и содержала более 380 млн записей, “включая учетные данные для входа и другие пользовательские данные, проверяемые службой Spotify”.

Кроме того, база содержала и другую информацию, в том числе адреса электронных почтовых ящиков, места проживания, а в некоторых случаях IP-адреса (скорее всего это были IP-адреса прокси-серверов, принадлежащих операторам сети, в которой размещалась база данных).

Согласно оценкам исследователей, утечка данных затрагивает от 300 до 350 тысяч пользователей Spotify.

Стоит отметить, что проблема затронула сравнительно небольшое количество клиентов музыкального сервиса, пользовательская база которого насчитывает около 299 млн человек.

Точное происхождение базы данных неизвестно. Однако исследователи подчеркивают, что сам сервис Spotify взломан не был. В исследовательской группе vpnMentor предполагают, что информация могла быть собрана хакерами из разных сторонних источников и утечек данных.

База данных могла использоваться для проведения кибератак с подстановкой учетных данных (для взлома учетных записей пользователей, финансового мошенничества и кражи личных данных, фишинговых атак). Речь идет об атаках, когда злоумышленники пытаются с помощью логинов и паролей пользователей пройти авторизацию на других платформах или в веб-приложениях.

“Эти учетные данные, скорее всего, были получены незаконным путем или стали результатом утечек из других источников, после чего были перепрофилированы для проведения атак с использованием учетных данных Spotify”, — подчеркнули исследователи.

Проблема была выявлена несколько месяцев тому назад – в начале июля, после чего исследователи уведомили о ней Spotify.

Музыкальный сервис предпринял необходимые действия для защиты данных пользователей, запустив процедуру сброса паролей для учетных записей, которые могли быть скомпрометированы. В результате информация в обнаруженной базе данных “будет аннулирована и станет бесполезной”.

• Ранее на группу отелей Marriott International подали коллективный иск в Высокий суд Лондона от миллионов клиентов, которые требовали компенсации после утечки их личных данных.
• Персональные данные почти 7 тысяч украинских военных были опубликованы в чат-боте в мессенджере Telegram.