Spotifyn tileille murto – tietoturvayhtiö: jopa 350 000 käyttäjän tiedot vaarassa - Tietoturva - Ilta-Sanomat

Spotifyn tileille murto – tietoturvayhtiö: jopa 350 000 käyttäjän tiedot vaarassa

Hakkerit käyttivät hyväkseen käyttäjien heikkoja salasanoja.

25.11.2020 20:03

Musiikin suoratoistopalvelu, 300 miljoonan käyttäjän Spotify on joutunut mittavan tietomurron kohteeksi. Tuhansien käyttäjien tiedot ovat voineet joutua vieraisiin käsiin.

Tietoturvayhtiö VPNMentor arvioi blogissaan, että hakkerit pääsivät 300 000 – 350 000 Spotify-käyttäjien tileille.

Tietomurron kohteeksi joutui suojaamaton Elasticsearch-tietokanta ja sen palvelin, jossa on 380 miljoonaa tallennetta. Tietokannassa on Spotifyn käyttäjien nimiä, sähköpostiosoitteita, salasanoja ja tieto siitä, pystyykö sillä kirjautumaan Spotifyn tilille.

Tietoturvayhtiön arvion mukaan hyökkääjät käyttivät niin sanottua credential stuffing -tekniikkaa. Hakkerit käyttivät hyväkseen heikkoja salasanoja, joilla käyttäjät kirjautuvat moniin eri verkkopalveluihin.

VPNMentorin mukaan tietomurto ei aiheutunut Spotifysta, sillä hakkereiden haltuunsa saama tietokanta kuului kolmannelle osapuolelle. Tiedot ovat ilmeisesti peräisin aiemmista tietomurroista tai tietovuodoista.

VPNMentor kertoo ilmoittaneensa vuodosta Spotifylle heinäkuun alussa. Spotify kertoo ottaneensa kesällä yhteyttä asiakkaisiinsa ja pyysi heitä vaihtamaan salasanat ja päivittämään tiedot.

Spotify huomauttaa lausunnossaan, ettei tietomurto johtunut heistä.

– Suhtaudumme erittäin vakavasti kaikkeen vilpilliseen toimintaan palvelussamme ja olemme sitoutuneita suojaamaan käyttäjiemme tietoja. Olemme tietoisia tällaisista työkaluista, joita kohdistetaan haavoittuviin käyttäjätunnuksiin ja salasanoihin.

– Kehotamme käyttäjiämme välttämään samojen tunnuksien käyttöä eri palveluissa. Se on tehokkain tapa suojata tilien tietoja tämänkaltaisilta hyökkäyksiltä.

Hakkeri-iskusta kertoi ensin Iltalehti.

Juttua korjattu 29.11. klo 22.04: VPNMentorin mukaan murron kohteena ollut tietokanta ei kuulunut Spotifylle vaan kolmannelle osapuolelle. Lisätty Spotifyn lausunto.

Osion tuoreimmat

Luitko jo nämä?