Spotify遭填充攻击,超过30万名用户受害

专门评测全球VPN服务的vpnMentor本周指出,该公司在一个公开的Elasticsearch数据库中发现了3.8亿笔记录,包括电子邮件账号与登录凭证等,涉及全球流媒体音乐龙头Spotify的30~35万名用户。在与Spotify接洽之后,vpnMentor认为这很可能是黑客通过填充攻击所获取的Spotify用户信息。

vpnMentor的调查显示,该曝光的数据库属于不明的第三方,并非源自于Spotify,却用来存放Spotify的登录凭证,很可能是非法取得,或者是通过凭证填充攻击所获得。

所谓的填充攻击是黑客利用A网站所外泄的用户凭证来试图登录B网站,这类的攻击之所以有效,全都依赖用户习惯于不同服务采用同样密码。

在收到vpnMentor的通知后,Spotify已要求受影响的用户重设密码,以让该Elasticsearch数据库上所存放的凭证失效。