遭憑證填充攻擊,Spotify 要求 35 萬用戶重設密碼

作者 | 發布日期 2020 年 11 月 25 日 16:05 | 分類 數位內容 , 數位音樂 , 資訊安全 Telegram share ! follow us in feedly


如果您習慣在多個網站服務使用相同的帳密,那就要特別留意了。據 VPN 服務評測網站 vpnMentor 調查,日前在 Elasticsearch 伺服器的 3.8 億筆記錄中發現,有多達 35 萬 Spotify 用戶的電子郵件和登入憑證等資料遭洩,原因可能與駭客竊取資料並以憑證填充攻擊有關。

vpnMentor 調查指出,用戶憑證資訊外洩並非源自 Spotify,而是來路不明的第三方所為。在 vpnMentor 與 Spotify 合作下,推測握有 Spotify 用戶憑證資料的第三方,很可能是從其他網站或平台服務不當取得,或有其他來源洩露,然後再將獲取資料對 Spotify 採取憑證填充攻擊(credential stuffing attacks)。

▲(Source: vpnMentor

憑證填充攻擊又稱帳密填充攻擊,指的是駭客竊取某服務大量帳號密碼後,再以自動化方式嘗試侵入其他網站服務,也就是利用許多使用者在不同網站上重複使用相同帳密的弱點,以竊取來的資料侵入並盜用帳號、惡意使用。

這次總計約 30 萬至 35 萬 Spotify 用戶受到影響,包括帳戶使用者名稱、密碼、電子郵件等資料都遭到外洩。Spotify 也在這起事件發生後,立即通知用戶重設密碼,使該 Elasticsearch 伺服器上所存放的帳密憑證失效。若要防止帳戶資訊外洩和憑證填充攻擊,建議用戶得在不同服務使用不相同的密碼,避免駭客惡意竊取使用。

(首圖來源:《科技新報》攝)

延伸閱讀: