Spotify: Passwort-Resets wegen über 300.000 öffentlich zugänglicher Credentials

Bereits im Juli forderte Spotify einige Nutzer gezielt zur Passwortänderung auf. Den Grund dafür machten Sicherheitsforscher erst jetzt publik.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 143 Beiträge

(Bild: Shutterstock)

Von
  • Olivia von Westernhagen

Sicherheitsforscher der Firma vpnMentor haben Anfang Juli dieses Jahres eine ungesicherte Elasticsearch-Datenbank entdeckt, die Zugangs- und weitere Daten von 300.000 bis 350.000 Nutzern des Audio-Streaming-Dienstes Spotify enthielt. Das Spotify-Team habe auf die Kontaktaufnahme am 9. Juli prompt reagiert und im Zeitraum zwischen dem 10. und dem 21. Juli eine zwangsweise Passwortänderung für alle betroffenen Accounts vorgenommen.

Zwar wurde die unmittelbare Gefahr von Kontenzugriffen zeitnah gebannt. Vor dem Hintergrund der nun in einem Blogeintrag veröffentlichten Details erscheinen aber weitere Vorsichtsmaßnahmen ratsam. Zugleich zeigt der Vorfall ganz grundsätzlich, dass die Nutzung ein und desselben Passworts für mehrere Accounts eine schlechte Idee ist.

Im Blogeintrag bei vpnMentor betonen die Forscher, dass es sich bei den entdeckten Datensätzen nicht etwa um ein durch Spotify verursachtes Leak gehandelt habe. Vielmehr stammten die Daten wohl aus einer oder mehreren anderen unbekannten Quellen und seien vermutlich im Zuge so genannter Credential Stuffing-Angriffe gezielt und automatisiert bei Spotify durchprobiert worden.

Das Resultat sei dann letztlich eine Datenbank aus – wie die Forscher nach eigenen Angaben validieren konnten – funktionierenden Spotify-Credentials gewesen. Neben Kombinationen aus E-Mail-Adressen, Nutzernamen und Passwörtern hätten die Datensätze auch noch Informationen zu den Wohnort-/Länderangaben der Nutzer umfasst. Informationen dazu, ob die Daten tatsächlich verwendet wurden, um auf einzelne Spotify-Accounts zuzugreifen, liefert der Blogeintrag nicht. Auch ist unklar, ob noch andere Kriminelle die Datenquelle angezapft haben könnten beziehungsweise wie lange diese zugänglich war.

Dass die kriminellen Urheber der Datenbank eine so große Zahl an Zugangsdaten zusammenstellen konnten, dürfte zu einem großen Teil auch mit der gängigen Praxis vieler Nutzer zusammenhängen, Nutzernamen und vor allem Passwörter zu "recyceln" oder gar parallel für mehrere Dienste zu nutzen. Bei Spotify wird das Credential Stuffing noch dadurch begünstigt, dass bei der Anmeldung wahlweise eine E-Mail-Adresse oder ein Nutzername angegeben werden kann. Zwei-Faktor-Authentifizierungsmöglichkeiten werden nicht angeboten.

Wer im Juli von Spotify zur Passwortänderung aufgefordert wurde, sollte spätestens jetzt Sorge tragen, mehrfach verwendete Passwörter auch für andere Accounts zu ändern. Auch eine erhöhte Wachsamkeit gegenüber Phishing-Angriffen auf Basis der Daten ist angebracht. Aber auch Nutzer, die nicht von dem Vorfall betroffen sind, sind gut damit beraten, die von ihnen verwendeten Passwörter kritisch unter die Lupe zu nehmen und gegebenenfalls gegen bessere (und jeweils nur einmal verwendete!) auszutauschen.

Lesen Sie auch

(ovw)