Khoảng 350,000 tài khoản của dịch vụ stream nhạc Spotify đã bị đánh cắp dữ liệu bởi một nhóm hacker. Tuy nhiên việc đánh cắp dữ liệu chỉ vì những cache login đã bị đánh cắp của các tài khoản dịch vụ khác và thêm một chút kiên nhẫn.
Một nhóm hackers đã đánh cắp thành công nhiều tài khoản Spotify vì thói quen tái sử dụng một mật khẩu chung từ các tài khoản khác, một thói quen của khá nhiều người. Ở những đợt đánh cắp dữ liệu của các tài khoản khác, hacker chỉ cần thử kết hợp tài khoản email đăng ký Spotify với password đã bị đánh cắp, kỹ thuật này được gọi là credential stuffing.
Kỹ thuật này cũng không quá phức tạp chỉ cần thời gian và sự kiên nhẫn, thậm chí nhóm hacker còn mắc một lỗi bảo mật khá cơ bản khi lưu trữ kết quả và dữ liệu trên một dịch vụ lưu trữ đám mây với độ bảo mật yếu. Vì thế bất kỳ ai sử dụng browser cũng có thể nhìn thấy dữ liệu này mà không cần đến mật khẩu.
Hai nhà nghiên cứu bảo mật Ran Locar và Noam Rotem tìm thấy các dữ liệu tài khoản Spotify bị đánh cắp khi thực hiện dự án scan mạng internet để tìm các dữ liệu không an toàn. Các nhà nghiên cứu yêu cầu các dữ liệu không an toàn trên cần được xóa hoặc khóa truy cập, các kết quả của dự án scan này hiện đã có trên website VPN Mentor.
Tuy nhiên dù có dữ liệu chúng ta vẫn không biết được hacker đã làm gì với các tài khoản Spotify đã bị đánh cắp. Có thể các tài khoản đó đã được cho thuê lại với mức giá rẻ mạt mà các bạn có thể thấy quảng cáo tài khoản Spotify giá rẻ thường xuyên xuất hiện trên Facebook. Hoặc các tài khoản trên cũng được sử dụng để thao túng lượt view, stream cho các ca khúc được trả tiền. Và ngoài ra các nhà nghiên cứu cũng không biết chính xác có bao nhiêu người đã có truy cập và sở hữu danh sách tài khoản này.
Locar và Rotem cũng tìm thấy các lưu trữ địa chỉ IP mà các hacker sử dụng, đây có lẽ là địa chỉ proxy server mà họ sử dụng trong một thời gian dài. Điều này có thể giúp cho Spotify điều tra được các vấn đề liên quan.
Sau khi có kết quả, Spotify đã gửi đến người dùng bị ảnh hưởng yêu cầu thay đổi password, để đảm bảo an toàn của tài khoản. Công ty cũng khuyến khích người dùng không nên tái sử dụng các mật khẩu để đảm bảo an toàn.
Bài học ở đây dành cho mọi người đó là đừng tái sử dụng một mật khẩu cho nhiều tài khoản. Các bạn có thể truy cập vào Google Account để xem thử bảo mật 'Security' của các tài khoản Google và liên quan sử dụng Gmail để check lại nhé.
Một nhóm hackers đã đánh cắp thành công nhiều tài khoản Spotify vì thói quen tái sử dụng một mật khẩu chung từ các tài khoản khác, một thói quen của khá nhiều người. Ở những đợt đánh cắp dữ liệu của các tài khoản khác, hacker chỉ cần thử kết hợp tài khoản email đăng ký Spotify với password đã bị đánh cắp, kỹ thuật này được gọi là credential stuffing.
Kỹ thuật này cũng không quá phức tạp chỉ cần thời gian và sự kiên nhẫn, thậm chí nhóm hacker còn mắc một lỗi bảo mật khá cơ bản khi lưu trữ kết quả và dữ liệu trên một dịch vụ lưu trữ đám mây với độ bảo mật yếu. Vì thế bất kỳ ai sử dụng browser cũng có thể nhìn thấy dữ liệu này mà không cần đến mật khẩu.
Hai nhà nghiên cứu bảo mật Ran Locar và Noam Rotem tìm thấy các dữ liệu tài khoản Spotify bị đánh cắp khi thực hiện dự án scan mạng internet để tìm các dữ liệu không an toàn. Các nhà nghiên cứu yêu cầu các dữ liệu không an toàn trên cần được xóa hoặc khóa truy cập, các kết quả của dự án scan này hiện đã có trên website VPN Mentor.
Tuy nhiên dù có dữ liệu chúng ta vẫn không biết được hacker đã làm gì với các tài khoản Spotify đã bị đánh cắp. Có thể các tài khoản đó đã được cho thuê lại với mức giá rẻ mạt mà các bạn có thể thấy quảng cáo tài khoản Spotify giá rẻ thường xuyên xuất hiện trên Facebook. Hoặc các tài khoản trên cũng được sử dụng để thao túng lượt view, stream cho các ca khúc được trả tiền. Và ngoài ra các nhà nghiên cứu cũng không biết chính xác có bao nhiêu người đã có truy cập và sở hữu danh sách tài khoản này.
Locar và Rotem cũng tìm thấy các lưu trữ địa chỉ IP mà các hacker sử dụng, đây có lẽ là địa chỉ proxy server mà họ sử dụng trong một thời gian dài. Điều này có thể giúp cho Spotify điều tra được các vấn đề liên quan.
Sau khi có kết quả, Spotify đã gửi đến người dùng bị ảnh hưởng yêu cầu thay đổi password, để đảm bảo an toàn của tài khoản. Công ty cũng khuyến khích người dùng không nên tái sử dụng các mật khẩu để đảm bảo an toàn.
Bài học ở đây dành cho mọi người đó là đừng tái sử dụng một mật khẩu cho nhiều tài khoản. Các bạn có thể truy cập vào Google Account để xem thử bảo mật 'Security' của các tài khoản Google và liên quan sử dụng Gmail để check lại nhé.
