Spotifyでアカウントデータが流出。30~35万人規模 10
ストーリー by nagazou
該当者はほかのサービスでのパスワード確認を 部門より
該当者はほかのサービスでのパスワード確認を 部門より
音楽ストリーミングサービス「Spotify」で、一部顧客のユーザーアカウントデータが流出したようだ。セキュリティ企業vpnMentorの研究者であるNoamRotem氏とRanLocar氏が発見した(vpnMentor、ZDNet、Engadget、マイナビ)。
流出したのはメールアドレスおよびユーザー名とパスワードのログイン資格情報のデータベース。データベースがどういう経緯で流出したかは不明だが、データ容量にして72GB、アカウント数にして300,000から350,000ユーザー分のデータが流出していたという。すでにSpotifyは該当するユーザーに関してはアカウントのローリングパスワードリセットを実行、流出した資格情報ではログインができなくなっている。このため、該当したユーザーはパスワードの再設定が必要となる。
ただし、ほかのサービス上で同様のユーザー名やパスワードを使用している場合、流出した資格情報を元にして不正侵入が行われるリスクがあるとしている。
流出したのはメールアドレスおよびユーザー名とパスワードのログイン資格情報のデータベース。データベースがどういう経緯で流出したかは不明だが、データ容量にして72GB、アカウント数にして300,000から350,000ユーザー分のデータが流出していたという。すでにSpotifyは該当するユーザーに関してはアカウントのローリングパスワードリセットを実行、流出した資格情報ではログインができなくなっている。このため、該当したユーザーはパスワードの再設定が必要となる。
ただし、ほかのサービス上で同様のユーザー名やパスワードを使用している場合、流出した資格情報を元にして不正侵入が行われるリスクがあるとしている。
Spotifyが流出させたわけではない (スコア:2)
このストーリーのタイトルだけだと、まるでSpotifyが流出させたように感じますが、リンク先をよく読むと
vpnMentor:
"In this case, the incident didn't originate from Spotify."
Engadget:
"Spotifyそのものにはハッキングの被害はなく、今回の情報は別のサービスから流出した模様です。"
つまりSpotifyそのものがクラックされて流出したわけではないようです。
ちょっとタイトル詐欺な感じがします。
Re: (スコア:0)
じゃあどこよ?
Spotifyの顧客データなんだろ?
Spotifyが洩らさずにどこが洩らすのよ?
(下請とかだったにしても監督義務あるだろ)
Re: (スコア:0)
以下のようなパターンがありうることに気づいた。
アマチュアもしくは悪意ある人がSpotifyプレーヤ(アプリ)を作る。
そのアプリは内部にIDとパスワードを登録しSpotifyにログイン。
それだけならまだしも、そのデータを別の場所にも送っていた(わざと?うっかり?)。
Re: (スコア:0)
フィッシング詐欺とか
Re: (スコア:0)
そんな、たいしてカネになりそうにないサイトのパスワードなんか狙っても…という気がするのだが。
Re: (スコア:0)
カネになるサービスで資格情報使い回してるユーザーがいるかもしれないし効率は良くないが全くの無価値でもない
Re: (スコア:0)
再生数水増しでチャート上位に食い込みたい某国は大量再生してます。
たまにTwitterで再生数増やす代わりにSpotifyのアカウント配布してる不正やってるやつを見かけるし。
1アカウントあたり200〜240KBくらい (スコア:0)
流出したとされる情報に対して、このサイズは妥当なの?
データベースの器ごと持って行かれたら (スコア:0)
インデックスとか、消去済みレコードとか、メタデータとか、
まだ使っていない所とかいろいろあって結構大きいのかも。
Re: (スコア:0)
72GBの中にには30万件のアカウントも入ってたみたいな事で、
それ以外のデータも含まれていると元記事からは読めた。