Resetowanie haseł użytkowników Spotify po nowym incydencie bezpieczeństwa
Wygląda na to, że Spotify nie może złapać przerwy. Po znalezieniu pływającej bazy danych, zawierającej dane należące do użytkowników Spotify pod koniec listopada 2020 r., Firma przeprowadziła nową falę resetowania hasła do części innych użytkowników.
Nowy incydent polegał na tym, że Spotify nieświadomie ujawniło fragmenty prywatnych informacji użytkowników określonej liczbie swoich partnerów biznesowych. Zgodnie z oficjalnym zawiadomieniem złożonym przez firmę ujawnione informacje „mogły zawierać” e-maile użytkowników, wyświetlane nazwy, hasła, a także płeć i datę urodzenia.
W powiadomieniu wspomniano, że ujawnienie danych miało miejsce z powodu luki w zabezpieczeniach oprogramowania, która wydaje się istnieć przez siedem miesięcy, ale została zauważona dopiero w połowie listopada 2020 r. Nie było żadnych szczegółowych informacji na temat luki, która doprowadziła do incydentu, ani żadnych szczegółów dotyczących tego, w jaki sposób miało to miejsce.
Jeśli to jakiekolwiek pocieszenie, Spotify skontaktowało się również z partnerami biznesowymi, którzy „mogli” mieć dostęp do informacji o klientach Spotify, aby w jakiś sposób „zapewnić”, że te informacje zostały niezwłocznie usunięte.
Firma nie ujawniła również żadnych informacji dotyczących dokładnego zakresu ujawnionych informacji ani liczby użytkowników, na których miały one wpływ. Jedynym opisem wielkości incydentu był fakt, że miało to wpływ na „niewielką grupę” użytkowników. Mały podzbiór ponad 320 milionów użytkowników może być dowolną liczbą siedmiocyfrową lub większą.
Poprzedni incydent z danymi użytkownika Spotify miał miejsce pod koniec listopada. Badacze bezpieczeństwa, którzy zwykle przeszukiwali niezabezpieczone internetowe bazy danych, znaleźli jedną nieszczelną bazę danych, najprawdopodobniej obsługiwaną przez hakerów, pełną haseł i prawdopodobnie używaną do wypychania poświadczeń .
Spotify zresetował kolejne masowe resetowanie haseł dla każdego z użytkowników, których poświadczenia zostały znalezione w bazie danych hakerów. Użytkownicy, których dotyczy problem, zostali powiadomieni e-mailem.