350.000 Spotify-accounts die het doelwit zijn van hackers
Tot 350.000 Spotify-accounts zijn ten prooi gevallen aan hackers die ze kraken door middel van zwakke wachtwoorden. Dit hebben beveiligingsonderzoekers van de Israëlische website VPNMentor onthuld.
Hoewel de muziekstreamingservice zelf niet is gehackt, vonden de onderzoekers een onbeschermde online database met ongeveer 380 miljoen individuele records / Deze zijn waarschijnlijk gestolen tijdens oude datalekken of phishing aanvallen en niet direct gerelateerd aan Spotify. Maar ze bieden hackers een stortvloed aan wachtwoorden en inloggegevens waarmee ze cyberaanvallen kunnen uitvoeren.
De eigenaar van de database gebruikte de records om “credential stuffing” -aanvallen uit te voeren, door wachtwoorden, gebruikersnamen en / of e-mailadressen uit te proberen (Spotify laat je beide gebruiken) om toegang te krijgen tot accounts op meerdere online services.
Spotify werd begin Juli op de hoogte gebracht van de situatie door de VPNMentor-onderzoekers en dwong al snel alle betrokken gebruikers om hun wachtwoorden opnieuw in te stellen.Die gebruikers zijn echter nog steeds kwetsbaar voor aanvallen met inloggegevens op andere services waarbij hun oude Spotify-wachtwoorden zijn hergebruikt.
Wat kun je doen
Als je een Spotify-gebruiker bent en je hebt dezelfde set inloggegevens gebruikt – een wachtwoord plus een gebruikersnaam en / of een e-mailadres – voor andere accounts, moet je de wachtwoorden voor die accounts onmiddellijk wijzigen. Zorg ervoor dat elk nieuw wachtwoord lang, sterk en uniek is. Je moet Spotify ook lastigvallen om tweefactorauthenticatie (2FA) aan te bieden als een beveiligingsoptie om precies dit soort accountovername te voorkomen.
Zonder de “tweede” factor – een sms-code, een door een app gegenereerde code, een specifieke smartphone of een fysieke beveiligingssleutel – kan een aanvaller geen toegang krijgen tot jou account, zelfs niet met jou wachtwoord. De meeste bekende online services bieden al 2FA, en het is tijd dat Spotify zich bij hen voegt.
Overige risico’s
In de database kunnen Spotify-gebruikers ook kwetsbaar zijn voor phishing-aanvallen en zelfs identiteitsdiefstal, waarschuwden de VPNMentor-onderzoekers.
“Fraudeurs zouden de blootgestelde e-mails en namen uit het lek kunnen gebruiken om gebruikers op andere platforms en sociale media-accounts te identificeren”, aldus het rapport. “Fraudeurs zouden de contactgegevens ook kunnen gebruiken om de blootgestelde gebruikers rechtstreeks te targeten met phishing-e-mails, hen te misleiden om gevoelige gegevens zoals creditcardgegevens te verstrekken, of om op een neplink te klikken die is ingesloten met malware.”
Dat is natuurlijk het geval wanneer er een grote datalek is waarbij inloggegevens worden onthuld. Vrijwel iedereen die ooit een online account heeft gehad, heeft iets blootgelegd. Je kunt jou eigen e-mailadressen en wachtwoorden bekijken op de (veilig te gebruiken) website HaveIBeenPwned.
Hoe kun je ervoor zorgen dat dit niet opnieuw gebeurt
Het opvullen van inloggegevens werkt over het algemeen alleen omdat de meeste mensen hetzelfde wachtwoord voor meer dan één account gebruiken, of eenvoudige, algemene wachtwoorden gebruiken die gemakkelijk kunnen worden geraden.
Als het wachtwoord, de gebruikersnaam en / of het e-mailadres dat aan slechts een van die accounts is gekoppeld, wordt blootgesteld aan een data lek of phishing-aanval, dan zijn alle accounts die die inloggegevens gebruiken toegankelijk, ongeacht hoe sterk het wachtwoord dan ook is.
Het opvullen van inloggegevens is niet echt een hack, aangezien de aanvaller al de “sleutels” heeft en de inlogsoftware gebruikt zoals deze is ontworpen. In plaats daarvan heb je het de aanvaller gemakkelijker gemaakt door dezelfde set sleutels voor meer dan één account te gebruiken.
Wachtwoorden opnieuw gebruiken is als het hebben van een enkele sleutel voor uw huis, uw auto, uw kantoor en uw thuiskluis. Het gebruik van een van de top 10.000 of zo meest gebruikte wachtwoorden is als het hebben van een lege sleutel. Zodra iemand een kopie van die sleutel krijgt, ben je eigenlijk al te laat. Gebruik daarom altijd verschillende wachtwoorden.
