Hackers zijn erin geslaagd om de Spotify-accounts van meer dan 300.000 gebruikers over te nemen. Daarvoor gebruikten ze een online database die meer dan 380 miljoen records bevatte, waaronder inlognamen en wachtwoorden. De database, die ruim 72 gigabyte in omvang was, was onbeveiligd, wat betekent dat deze voor iedereen toegankelijk was.
Onderzoekers ontdekten de database afgelopen juli. Nadat ze kwestie hadden onderzocht, namen ze contact op met Spotify. De muziekstreamingdienst vroeg de gedupeerden om hun wachtwoord te veranderen.
Database met meer dan 380 miljoen records open en bloot op internet
Hackers en cybercriminelen houden er ieder hun eigen manier op na om geld te verdienen. De een verkoopt software waarmee ze phishing websites kunnen opzetten (zogeheten phishing panelen), de ander houdt zich bezig met het ontwikkelen van ransomware en andere malware. De een past social engineering toe om bedrijfsnetwerken te infecteren en infiltreren, de ander is gespecialiseerd in het buitmaken van bedrijfsgevoelige data of privégegevens. Iedere hacker heeft zijn eigen specialisme en vaak werken ze samen om slachtoffers te maken.
In deze zaak onderhield iemand of een groep hackers een Elasticsearch database die bestond uit meer dan 380 miljoen records. Deze is hoogstwaarschijnlijk samengesteld door informatie samen te voegen die is buitgemaakt bij eerdere datalekken bij uiteenlopende bedrijven en organisaties. De database was ruim 72 GB in omvang en bevatte gegevens als e-mailadressen, gebruikersnamen en wachtwoorden.
Database was voor iedereen toegankelijk
Normaal gesproken betalen hackers grof geld voor zo’n berg aan informatie. Soms geven ze deze gegevens gratis weg. Dat laatste was hier het geval. De database was niet versleuteld en was voor iedereen toegankelijk die de Elasticsearch server wist te vinden. Iemand heeft deze database gebruikt om een credential stuffing attack uit te voeren. Hackers maken dan gebruik van een geautomatiseerd programma om gebruikersnamen en wachtwoorden te combineren, net zolang totdat ze een account hebben gekraakt.
Met deze aanval slaagden hackers er in om de Spotify-accounts van grofweg 300.000 tot 350.000 gebruikers over te nemen. De database en het misbruik werden afgelopen zomer ontdekt. De bevindingen werden op 9 juli aan Spotify gemeld. De muziekstreamingdienst trof tussen 10 en 21 juli maatregelen: alle gedupeerden moesten hun wachtwoord wijzigen om misbruik te voorkomen.
Het is onduidelijk waar de informatie uit de database van afkomstig is. Wellicht is deze informatie gestolen bij andere websites, online platforms of applicaties. Het lijkt erop dat Spotify niet het slachtoffer is geworden van een cyberaanval waar gebruikersgegevens zijn gestolen. Voor zover bekend zijn er geen slachtoffers gevallen door identiteitsfraude of andere online oplichtingstrucs.
Tweestapsverificatie had dit kunnen voorkomen
Volgens BleepingComputer is de overname van honderdduizenden Spotify-accounts te wijten aan het feit dat de muziekstreamingdienst geen tweestapsverificatie ondersteunt. Om in te kunnen loggen heb je dan naast een gebruikersnaam en wachtwoord ook nog een speciale code of token nodig. Deze kun je per sms naar je laten opsturen, maar bijvoorbeeld ook ontvangen via een zogeheten authenticator app zoals Google Authenticator. Microsoft waarschuwde onlangs om deze security tokens niet via sms te laten opsturen, omdat hackers deze berichten kunnen onderscheppen.
Ondanks dat Spotify-gebruikers al langer roepen om tweestapsverificatie, weigert de muziekstreamingdienst deze maatregel te implementeren. Volgens beveiligingsexperts is multifactorauthenticatie (MFA) zeer effectief: bij minder dan 0,1 procent die MFA hebben ingesteld, wordt hun account daadwerkelijk gehackt.
