Credential-Stuffing-Angriff auf Spotify mit Zugangsdaten aus anderem Datenleck

Ein Sicherheitsforscher hat entdeckt, dass Spotify von einem Credential-Stuffing-Angriff betroffen war, in dem Daten von mehr als 100.000 Konten eingesetzt wurden.

Anders als beim Vorfall vom letzten Jahr lag diesem Angriff kein Datenleck bei Spotify selbst zugrunde. Dieses Mal handelte es sich um Credential Stuffing mit Zugangsdaten aus anderen Quellen.

Sicherheitsforscher Bob Diachenko stieß auf eine Datenbank mit mehr als 100.000 Einträgen, die höchstwahrscheinlich aus anderen Datenlecks stammen.

„Credential Stuffing ist eine verbreitete Methode, um sich unbefugt Zugang zu Online-Konten zu verschaffen“, heißt es in einer Stellungnahme des Streamingdienstes. „Dabei testen die Angreifer, ob Benutzernamen und Passwörter, die aus anderen Datenlecks stammen, auch bei diesen Konten funktionieren.“

„Diesem Angriff lagen keine Sicherheitsprobleme bei Spotify selbst zugrunde“, gab das Unternehmen an. „Sobald wir der Situation gewahr wurden, forderten wir alle betroffenen Benutzer auf, ihre Passwörter zu ändern, um die veröffentlichten Zugangsdaten nutzlos zu machen. Außerdem forderten wir vom Provider, bei dem die Datenbank gehostet war, sie zu löschen.

Mehrfach verwendete Passwörter sind ein Fluch für die Cybersicherheit. Das sicherste, komplexeste Passwort nützt nicht viel, wenn es bei Dutzenden von Konten wiederverwendet wird. Spotify hatte Glück, dass ein unabhängiger Sicherheitsforscher die Datenbank fand, denn dies war sicher nicht der letzte Vorfall dieser Art.

Wir empfehlen allen Benutzern von Online-Diensten unterschiedliche Passwörter für die verschiedenen Dienste zu verwenden, und sie umgehend zu ändern, wenn ihre Zugangsdaten in falsche Hände gelangen. Zusätzliche Sicherheit bieten Dienste, die die eigene digitale Identität im Auge behalten.