350,000个Spotify密码被盗,遗留在不受保护的数据库中

一组不良行为者在服务器上存储了大约350,000个非法获得的Spotify帐户密码,没有进行加密或任何形式的保护。并非通过违反Spotify用户数据库来获取数据,而是通过凭据填充来获取数据。

凭据填充的原理依赖于人们在不同的网站或服务上重用其密码。这正是有问题的黑客组织如何使用这350,000个Spotify密码的方式。不良行为者使用了多次密码泄漏,并开始将以前泄漏的密码与Spotify帐户进行混合和匹配,直到找到有效的匹配为止。

但是,不良行为者还认为,在没有任何保护的情况下,将非法获取的密码存储在服务器上是个好主意。这使正在网上扫描不安全数据库的安全研究人员可以发现并识别密码转储。

此事件再次强调了切勿在设备,网站或服务之间重复使用密码的重要性。密码重用所带来的便利永远不值得那些服务之一被破坏或泄露您的密码和不当行为者随后能够使用它来访问您的其他帐户的危险。

凭据填充使黑客可以访问您认为安全的帐户,因为相关服务或站点从未遭受数据泄露。但是,使用重用密码从一个位置泄漏可能会导致黑客破坏共享相同密码字符串的所有其他帐户。

密码管理器可以帮助为每个单独的帐户维护各种复杂的密码。该软件不仅可以维护您的密码数据库,还可以为您提供有关如何提出强密码或将您喜欢的和容易记住的密码字符串多样化为更安全的建议。

November 27, 2020

发表评论