新しいセキュリティインシデント後にSpotifyユーザーパスワードがリセットされる

Spotifyは休憩をとることができないようです。 2020年11月下旬にSpotifyユーザーが所有していたデータを含むデータベースがオンラインでフローティングしていることが判明した後、同社は他のユーザーのチャンクに新しいパスワードリセットウェーブを実施しました。

新しい事件では、Spotifyが無意識のうちにユーザーの個人情報のチャンクを特定の数のビジネスパートナーに公開していました。同社が提出した公式通知によると、公開された情報には、ユーザーの電子メール、表示名、パスワード、性別、生年月日が「含まれている可能性があります」。

通知には、7か月間存在したように見えるが、2020年11月中旬にのみ発見されたソフトウェアの脆弱性が原因でデータが公開されたことが記載されています。インシデントの原因となった脆弱性に関する具体的な情報や、その方法に関する詳細はありませんでした。それが起こりました。

それが慰めである場合、Spotifyはまた、Spotifyの顧客情報に「アクセスできた可能性がある」とビジネスパートナーに連絡し、この情報が迅速に削除されたことを何らかの形で「確認」しました。

同社はまた、公開された情報の正確な範囲とそれによって影響を受けたユーザーの数に関する情報を公開していません。インシデントの量の唯一の説明は、ユーザーの「小さなサブセット」が影響を受けたということでした。 3億2000万人を超えるユーザーの小さなサブセットは、7桁以上の数字にすることができます。

Spotifyのユーザーデータに関する前回の事件は11月下旬に発生しました。セキュリティで保護されていないオンラインデータベースを通常どおりスイープしているセキュリティ研究者は、ハッカーによって操作され、パスワードでいっぱいで、 資格情報の詰め込みに使用されている可能性が高い1つのリークデータベースを発見しました。

Spotifyは、ハッカーデータベースで資格情報が見つかったユーザーに対して、別の一括パスワードリセットをプッシュしました。影響を受けたユーザーには電子メールで通知されました。