Επαναφορά κωδικών πρόσβασης χρήστη Spotify μετά από νέο περιστατικό ασφαλείας
Το Spotify φαίνεται ότι δεν μπορεί να κάνει διάλειμμα. Μετά την εύρεση μιας βάσης δεδομένων στο διαδίκτυο, η οποία περιείχε δεδομένα που ανήκαν σε χρήστες του Spotify στα τέλη Νοεμβρίου 2020, τώρα η εταιρεία πραγματοποίησε ένα νέο κύμα επαναφοράς κωδικού πρόσβασης σε ένα κομμάτι άλλων χρηστών.
Το νέο περιστατικό αφορούσε την Spotify, εκθέτοντας αθέλητα κομμάτια προσωπικών πληροφοριών χρήστη σε έναν ορισμένο αριθμό συνεργατών της. Σύμφωνα με την επίσημη ειδοποίηση που υπέβαλε η εταιρεία, οι εκτεθειμένες πληροφορίες "ενδέχεται να περιέχουν" e-mail χρηστών, εμφανιζόμενα ονόματα, κωδικούς πρόσβασης καθώς και φύλο και ημερομηνία γέννησης.
Η ειδοποίηση αναφέρει ότι η έκθεση δεδομένων πραγματοποιήθηκε λόγω ευπάθειας λογισμικού που φαίνεται να υπήρχε για επτά μήνες, αλλά εντοπίστηκε μόνο στα μέσα Νοεμβρίου 2020. Δεν υπήρχαν συγκεκριμένες πληροφορίες σχετικά με την ευπάθεια που οδήγησε στο συμβάν ή οποιεσδήποτε λεπτομέρειες σχετικά με τον τρόπο έλαβε χώρα.
Εάν αυτό είναι παρηγοριά, η Spotify ήρθε σε επαφή με τους επιχειρηματικούς εταίρους που "μπορεί" να έχουν πρόσβαση στις πληροφορίες πελατών του Spotify, για να "διασφαλίσουν" ότι αυτές οι πληροφορίες έχουν διαγραφεί αμέσως.
Η εταιρεία επίσης δεν δημοσίευσε πληροφορίες σχετικά με το ακριβές πεδίο των εκτεθειμένων πληροφοριών και τον αριθμό των χρηστών που επηρεάστηκαν από αυτήν. Η μόνη περιγραφή του όγκου του συμβάντος ήταν ότι επηρεάστηκε ένα "μικρό υποσύνολο" χρηστών. Ένα μικρό υποσύνολο άνω των 320 εκατομμυρίων χρηστών μπορεί να είναι οποιοδήποτε επταψήφιο σχήμα, ή περισσότερο.
Το προηγούμενο περιστατικό που αφορούσε δεδομένα χρηστών Spotify έλαβε χώρα στα τέλη Νοεμβρίου. Οι ερευνητές ασφαλείας που κάνουν το συνηθισμένο σάρωμά τους για μη ασφαλείς διαδικτυακές βάσεις δεδομένων βρήκαν μια διαρρήσιμη βάση δεδομένων, που πιθανότατα λειτουργούσαν από χάκερ, γεμάτες κωδικούς πρόσβασης και πιθανότατα χρησιμοποιήθηκαν για συμπλήρωση πιστοποιητικών .
Το Spotify ώθησε μια άλλη μαζική επαναφορά κωδικού πρόσβασης για οποιονδήποτε από τους χρήστες των οποίων τα διαπιστευτήρια βρέθηκαν στη βάση δεδομένων χάκερ. Οι επηρεαζόμενοι χρήστες ενημερώθηκαν μέσω e-mail.
