idNSA.id - Spotify meluncurkan 'rolling reset’ pada akun pelanggan, kata sandi yang terkait dengan kebocoran data.
Spotify telah mengeluarkan pengaturan ulang kata sandi bergulir untuk beberapa akun pengguna setelah ditemukannya database terbuka yang berisi kredensial pengguna.
Minggu ini, peneliti vpnMentor Noam Rotem dan Ran Locar mempublikasikan temuan mereka, di mana database Elasticsearch terbuka ditemukan selama mapping project web perusahaan.
Basis data 72GB berisi lebih dari 380 juta catatan, "termasuk kredensial login dan data pengguna lain yang divalidasi terhadap layanan Spotify," kata tim tersebut.
Menurut vpnMentor, asal-usul database tidak diketahui, tetapi bukan milik layanan streaming musik itu sendiri. Sebaliknya, pihak ketiga yang membuat database mungkin telah menyusun catatan dari sumber lain - seperti dump data yang dicuri atau platform lain - untuk digunakan nanti untuk membajak akun pengguna.
"Kredensial ini kemungkinan besar diperoleh secara ilegal atau berpotensi bocor dari sumber lain yang digunakan kembali untuk serangan pengisian kredensial terhadap Spotify," kata Rotem dan Locar.
Beberapa, tetapi tidak semua, pengguna Spotify telah terpengaruh. Diperkirakan sekitar 300.000 hingga 350.000 akun terlibat dalam kebocoran tersebut, di mana alamat email, Informasi Identitas Pribadi (PII), negara tempat tinggal, dan kredensial login - nama pengguna dan sandi - tersedia untuk dilihat.
Informasi tidak dienkripsi. Hasilnya, catatan ini dapat digunakan untuk mengakses dan mengambil alih akun, serta melakukan serangan penjejalan kredensial jika kombinasi sandi dan email digunakan di platform lain atau untuk mengakses aplikasi lain.
Namun, perlu dicatat bahwa data yang bocor hanya terkait dengan sebagian kecil dari 299 juta basis pengguna aktif bulanan Spotify.
vpnMentor menemukan basis data pada 3 Juli, dan setelah peninjauan, menghubungi Spotify pada 9 Juli. Antara 10 Juli dan 21 Juli, layanan streaming musik memulai pengaturan ulang kata sandi untuk pengguna yang diidentifikasi dalam basis data, memastikan kombinasi kata sandi dan nama pengguna - setidaknya di platform Spotify - akan menjadi tidak berguna.
Sumber: CDNet Foto: Reuters/ Dado Ruvic
