Passwortsicherheit
Hacker kapern 300.000 Spotify-Konten
Über eine »Credential Stuffing«-Attacke haben unbekannte Angreifer die Accounts von mehr als 300.000 Spotify-Nutzern übernommen. Die dafür wahrscheinlich genutzte Datenbank enthält mehr als 380 Millionen kompromittierte Login-Daten.
In den vergangenen Wochen wunderten sich zahlreiche Spotify-Nutzer über wie von Geisterhand auftauchende neue Playlists und Musikvorschläge sowie Änderungen an ihren Accounts. Doch dahinter steckt keine Änderung am Algorithmus oder den Abonnements, sondern ein großangelegter Hackerangriff. Das legt jetzt der Anbieter VPNMentor offen, der den Angriff nach eigenen Angaben im Juli entdeckt und an Spotify gemeldet hatte. Dem Bericht zufolge haben die unbekannten Hintermänner nach bisherigen Erkenntnissen schon mehr als 300.000 Nutzerkonten übernommen. Auch wenn der Scheitelpunkt der Angriffswelle wohl schon überschritten und Spotify auf weitere Übernahmeversuche vorbereitet ist, bleibt die Bedrohung vorerst erhalten. Denn der Fehler, der den Hackern die Übernahme der Spotify-Konten möglich machte, liegt wohl nicht in den IT-Systemen von Spotify, sondern bei den Nutzern selbst.
Die feindliche Kontoübernahme konnte nur gelingen, weil die betroffenen Nutzer bei anderen Diensten dieselben Logins und Passwörter benutzen, wie bei Spotify. Hacker nutzen das beim sogenannten »Credential Stuffing« aus, indem sie, üblicherweise automatisiert und massenweise, bekannte Zugangsdaten bei anderen Diensten ausprobieren. Die dabei verwendeten Informationen stammen meist aus früheren Hacks anderer Cyberkrimineller, die sie nach dem Erreichen der eigenen Ziele oft als eine Art Abfallprodukte zur freien Verfügung ins Netz stellen. In diesem Fall konnte eine rund 72 GByte große Datenbank aus dem Darknet als mögliche Quelle identifiziert werden, in der mehr als 380 Millionen Nutzerdaten abgespeichert sind. Spotify hat die betroffenen Nutzer informiert und deren Konten zurückgesetzt, sodass sie dort wieder die Kontrolle übernehmen konnten. Zudem wurde die Datenbank intensiv auf weitere mögliche Angriffsziele unter den eigenen Kunden überprüft.
Das alles hilft freilich wenig, wenn die Anbieter keine Zwei-Faktor-Authentifizierung bieten und die Nutzer weiterhin lieber auf die Ein-Login-für-Alles-Strategie und Passwörter wie »Passwort« setzen (siehe: Das sind die 20 häufigsten Passwörter – und die schlechtesten! ). So ist davon auszugehen, dass die Hacker die Daten nach dem erfolgreichen Einsatz bei Spotify künftig für weitere Angriffe bei anderen Diensten nutzen werden. Und die nächste Datenbank wird schon bald auftauchen. Dabei stehen den Nutzern etwa mit Passwortmanagern einfach zu nutzende Lösungen bereit, die ihnen diese Bürde abnehmen und gleichzeitig sogar davor warnen können, wenn Zugangsdaten möglicherweise kompromittiert wurden.
Lesen Sie mehr zum Thema
