情境示意圖,photo by Sara Kurfeß on unsplash

專門評測全球VPN服務的vpnMentor本周指出,該公司在一個公開的Elasticsearch資料庫中發現了3.8億筆紀錄,包括電子郵件帳號與登入憑證等,涉及全球串流音樂龍頭Spotify的30~35萬名用戶。在與Spotify接洽之後,vpnMentor認為這很可能是駭客透過填充攻擊所獲取的Spotify用戶資訊。

vpnMentor的調查顯示,此一曝光的資料庫屬於不明的第三方,並非源自於Spotify,卻用來存放Spotify的登入憑證,很可能是非法取得,或者是透過憑證填充攻擊所獲得。

所謂的填充攻擊是駭客利用A網站所外洩的用戶憑證來試圖登入B網站,這類的攻擊之所以有效,全都仰賴使用者習慣於不同服務採用同樣密碼。

在收到vpnMentor的通知後,Spotify已要求受影響的用戶重設密碼,以讓該Elasticsearch資料庫上所存放的憑證失效。


熱門新聞

Advertisement