350,000のSpotifyパスワードが盗まれ、保護されていないデータベースに残されました

約350,000の不正に取得されたSpotifyアカウントのパスワードを暗号化や保護なしでサーバーに保存した悪意のある人物のグループ。データはSpotifyのユーザーデータベースの侵害ではなく、代わりに資格情報の詰め込みによって調達されました。

資格情報の詰め込みの原則は、さまざまなWebサイトまたはサービスでパスワードを再利用する人々に依存しています。これはまさに、問題のハッカーグループがこれらの350,000のSpotifyパスワードを手にした方法です。悪意のある人物は複数のパスワードリークを使用し、以前にリークされたパスワードをSpotifyアカウントと混合して照合し始め、一致するものが見つかるまで続けました。

ただし、悪意のある人物は、不正に取得したパスワードを保護せずにサーバーに保存することをお勧めします。これにより、セキュリティで保護されていないデータベースをWebで一掃しているセキュリティ研究者は、パスワードダンプを見つけて特定することができました。

この事件は、デバイス、Webサイト、またはサービス間でパスワード再利用しないことの重要性を改めて強調するのに役立ちます。パスワードの再利用に伴うと思われる便利さは、これらのサービスの1つが侵害されたり、パスワードや悪意のある人物が漏洩したりして、他のアカウントにアクセスできるようになる危険を冒す価値はありません。

問題のサービスまたはサイトがデータ侵害を受けたことはないため、資格情報の詰め込みにより、ハッカーは安全と思われるアカウントにアクセスできます。ただし、パスワードが再利用された1つの場所からのリークにより、ハッカーが同じパスワード文字列を共有する他のすべてのアカウントを侵害する可能性があります。

パスワードマネージャーは、個別のアカウントごとに多様で複雑なパスワードを維持するのに役立ちます。このソフトウェアは、パスワードデータベースを維持するだけでなく、強力なパスワードを考え出す方法や、お気に入りの覚えやすいパスワード文字列をより安全なものに多様化する方法についての提案も提供します。

November 27, 2020

返信を残す