Časť z 300 miliónov ľudí, ktorí používajú hudobnú službu Spotify, si musela zmeniť heslo bez toho, aby o to sami požiadali. Krok z preventívnych bezpečnostných dôvodov iniciovala samotná hudobná služba.
Na internet totižto unikli prihlasovacie a ďalšie údaje používateľov hudobnej služby Spotify, čo odhalili dvaja experti spoločnosti vpnMentor. Informuje o tom portál ZDNet.
Noam Rotem a Ran Locar počas práce na projekte webového mapovania natrafili na nezabezpečenú databázu, ktorá obsahovala až 380 miliónov záznamov (72 GB dát). Medzi nimi sa nachádzali aj prihlasovacie údaje – mená a heslá, e-mailové adresy a informácie o krajine pôvodu zákazníkov služby Spotify.
Pôvod databázy nie je známy, no nemá žiadnu priamu spojitosť s infraštruktúrou Spotify. Vyzerá to, že databázu vytvoril subjekt, ktorý získal citlivé údaje z rôznych zdrojov. S najväčšou pravdepodobnosťou boli získané nelegálne, pričom mohli slúžiť kybernetickým útočníkom.
Experti z vpnMentor databázu objavili ešte v priebehu leta a vzápätí svoje zistenia posunuli službe Spotify. Tá následne pristúpila k resetovaniu hesiel tých používateľov, ktorí boli identifikovaní v záznamoch databázy. Každý z dotknutých zákazníkov obdržal e-mail so správou, že bolo jeho heslo resetované.
Nepodceňujte riziko
Zo zistení vyplýva najväčšie riziko pre tých jedincov, ktorí používajú rovnaké prihlasovacie meno a heslo v rôznych službách. Útočníci sa tak, teoreticky, nemuseli dostať len k účtom v Spotify, ale aj k iným službám.
Pri registrovaní do jednotlivých služieb voľte vždy silné a dlhé heslo zložené z rozličných znakov a čísiel, ktoré nemajú žiadny konkrétny zmysel. Heslo „skola123“, dátum narodenia či napr. názov obľúbeného filmu v žiadnom prípade bezpečné nie sú.
Pre každú službu registrujte unikáte heslo, ktoré nemá súvis s heslami registrovanými v iných službách. Ak je to možné, aktivujte si možnosť dodatočného overenia – dvojfaktorovú autentifikáciu.
Nebojte sa použiť niektorého zo správcov hesiel, ktorý vaše prihlasovacie údaje uchová v bezpečí a bez toho, aby ste si ich museli pamätať. Siahnuť môžete po nástroji Správca hesiel Google, 1Password či napríklad LastPass.