Spotify遭填充攻擊，逾30萬名用戶受害

專門評測全球VPN服務的vpnMentor本周指出，該公司在一個公開的Elasticsearch資料庫中發現了3.8億筆紀錄，包括電子郵件帳號與登入憑證等，涉及全球串流音樂龍頭Spotify的30~35萬名用戶。在與Spotify接洽之後，vpnMentor認為這很可能是駭客透過填充攻擊所獲取的Spotify用戶資訊。

vpnMentor的調查顯示，此一曝光的資料庫屬於不明的第三方，並非源自於Spotify，卻用來存放Spotify的登入憑證，很可能是非法取得，或者是透過憑證填充攻擊所獲得。

所謂的填充攻擊是駭客利用A網站所外洩的用戶憑證來試圖登入B網站，這類的攻擊之所以有效，全都仰賴使用者習慣於不同服務採用同樣密碼。

在收到vpnMentor的通知後，Spotify已要求受影響的用戶重設密碼，以讓該Elasticsearch資料庫上所存放的憑證失效。