新安全事件后,Spotify用户密码重置
Spotify似乎无法休息。在2020年11月下旬发现一个在线浮动的数据库(其中包含属于Spotify用户的数据)之后,现在该公司向其他大量用户发起了新的密码重置浪潮。
新事件涉及Spotify不经意间将大量用户私人信息暴露给其一定数量的业务合作伙伴。根据该公司提交的官方通知,暴露的信息“可能包含”用户的电子邮件,显示名称,密码以及性别和出生日期。
通知中提到发生数据泄露是因为一个软件漏洞似乎已经存在七个月,但仅在2020年11月中旬才被发现。没有有关导致事件的漏洞的具体信息,也没有有关如何发生的任何细节。它发生了。
如果可以的话,Spotify还联系了“可能”能够访问Spotify客户信息的业务合作伙伴,以某种方式“确保”该信息已被迅速删除。
该公司也没有发布任何有关所暴露信息的确切范围以及受此影响的用户数量的信息。关于事件量的唯一描述是“一小部分”用户受到了影响。超过3.2亿用户的一小部分可以是任何七位数字,甚至更多。
上一次涉及Spotify用户数据的事件发生在11月下旬。安全研究人员通常对不安全的在线数据库进行扫描,发现一个泄漏的数据库,很可能是由黑客操作的,充满了密码,并可能用于凭证填充。
Spotify为在黑客数据库中找到其凭据的任何用户推送了另一个批量密码重置。受影响的用户已通过电子邮件通知。