Spotify-gebruikerswachtwoorden gereset na nieuw beveiligingsincident
Het lijkt erop dat Spotify geen pauze kan nemen. Nadat eind november 2020 een database online drijvend werd gevonden met gegevens die toebehoorden aan Spotify-gebruikers, voerde het bedrijf nu een nieuwe golf voor het opnieuw instellen van wachtwoorden uit naar een deel van andere gebruikers.
Het nieuwe incident betrof dat Spotify onbewust stukjes privé-informatie van gebruikers aan een bepaald aantal van zijn zakenpartners blootlegde. Volgens de officiële kennisgeving die het bedrijf heeft ingediend, kan de blootgestelde informatie de e-mails van gebruikers, weergavenamen, wachtwoorden, geslacht en geboortedatum "bevatten".
In de melding wordt vermeld dat de gegevensblootstelling plaatsvond vanwege een softwarekwetsbaarheid die zeven maanden lijkt te bestaan, maar pas medio november 2020 werd opgemerkt. Er was geen specifieke informatie over de kwetsbaarheid die tot het incident heeft geleid of specifieke informatie over hoe het vond plaats.
Als dat een troost is, nam Spotify ook contact op met de zakenpartners die "mogelijk" toegang hadden gehad tot Spotify-klantinformatie, om er op de een of andere manier "zeker van te zijn" dat deze informatie onmiddellijk werd verwijderd.
Het bedrijf heeft ook geen informatie vrijgegeven over de exacte omvang van de blootgestelde informatie en het aantal gebruikers dat erdoor werd beïnvloed. De enige beschrijving van het volume van het incident was dat een ‘kleine subgroep’ van de gebruikers erdoor was getroffen. Een kleine subgroep van meer dan 320 miljoen gebruikers kan een getal van zeven cijfers of meer zijn.
Het vorige incident met Spotify-gebruikersgegevens vond eind november plaats. Beveiligingsonderzoekers die hun gebruikelijke zoektocht naar onbeveiligde online databases deden, vonden één lekkende database, zeer waarschijnlijk beheerd door hackers, vol wachtwoorden en waarschijnlijk gebruikt voor het opvullen van inloggegevens .
Spotify heeft opnieuw een massa-wachtwoordreset doorgevoerd voor alle gebruikers wiens inloggegevens in de hackerdatabase waren gevonden. De getroffen gebruikers zijn per e-mail op de hoogte gebracht.