Сброс паролей пользователей Spotify после нового инцидента безопасности

Spotify, похоже, не может передохнуть. После того, как в конце ноября 2020 года была обнаружена плавающая в сети база данных, содержащая данные, которые принадлежали пользователям Spotify, теперь компания провела новую волну сброса пароля для части других пользователей.

Новый инцидент связан с тем, что Spotify непреднамеренно раскрывает фрагменты личной информации пользователей определенному числу своих деловых партнеров. Согласно официальному уведомлению, которое подала компания, раскрытая информация «могла содержать» адреса электронной почты пользователей, отображаемые имена, пароли, а также пол и дату рождения.

В уведомлении упоминается, что раскрытие данных произошло из-за уязвимости программного обеспечения, которая, по-видимому, существовала в течение семи месяцев, но была обнаружена только в середине ноября 2020 года. Не было конкретной информации об уязвимости, которая привела к инциденту, или каких-либо подробностей о том, как это произошло.

Если это утешает, Spotify также связалась с бизнес-партнерами, которые «могли» иметь доступ к информации о клиентах Spotify, чтобы каким-то образом «гарантировать» быстрое удаление этой информации.

Компания также не разглашала никакой информации относительно точного объема раскрытой информации и количества пользователей, которых она затронула. Единственным описанием объема инцидента было то, что пострадала «небольшая группа» пользователей. Небольшая подгруппа из более чем 320 миллионов пользователей может быть любой семизначной цифрой или больше.

Предыдущий инцидент с пользовательскими данными Spotify произошел в конце ноября. Исследователи безопасности, проводившие обычную проверку незащищенных онлайн-баз данных, обнаружили одну дырявую базу данных, скорее всего, управляемую хакерами, полную паролей и, вероятно, используемую для заполнения учетных данных .

Spotify подтолкнул еще один массовый сброс пароля для любого из пользователей, чьи учетные данные были найдены в базе данных хакеров. Пострадавшие пользователи были уведомлены по электронной почте.