Tausende Spotify-Nutzer wurden im Sommer von dem Dienst gebeten, ihre Login-Daten zu überprüfen. Der Streaming-Service ist Opfer einer sogenannten “Credencial Stuffing”-Attacke geworden. Bei dieser speziellen Hacking-Technik werden Anmeldedaten, die bei anderen Angriffen erbeutet wurden ausprobiert, um mit ihnen in diesem speziellen Fall Spotify-Konten zu knacken. Die Angreifer machen sich dabei die Tatsache zunutze, dass viele Nutzer auf schwache Passwörter setzen und diese auch mehrfach bei unterschiedlichen Diensten verwenden. Wurde also das Login eines Dienstes bei einem Angriff gekapert, werden diese Login-Daten auch bei weiteren Services ausprobiert.
Die “Credencial Stuffing”-Attacke, die erst jetzt bekannt wurde, hatte es den Angaben zufolge auf mehr als 300.000 Spotify-Nutzer abgesehen. Für den Angriff wurde eine Datenbank mit mehr als 380 Millionen Einträgen benutzt, die von den Sicherheitsexperten von VPNMentor aufgespürt wurde. Diese Elasticsearch-Datenbank wurde den Mutmaßungen zufolge von Dritten erstellt und beinhaltet 72 Gigabyte Nutzerdaten von Spotify, darunter Benutzernamen, E-Mail-Adressen und Passwörter. Wer genau die Datenbank erstellt hat, ist nicht bekannt. Derartige Sammlungen werden meist nach großen Datenpannen zusammengefasst und dann entweder kostenlos oder gegen eine Gebühr im Darknet bereitgestellt.
Laut VPNMentor war die Datenbank komplett unverschlüsselt. Dem Team gelang es, auf sämtliche Informationen über den Browser zuzugreifen. Die Sicherheitsexperten hätten Spotify bereits Anfang Juli über die Datenbank informiert und erhielten umgehend eine Antwort. Spotify setzte die Passwörter der betroffenen Nutzer zurück. Die Informationen in der Datenbank wurden damit nutzlos.