ทีมวิจัยของ vpnMentor พบฐานข้อมูลที่คาดว่าจะเป็นของกลุ่มแฮกเกอร์ที่เก็บผลการแฮกบัญชีผู้ใช้ Spotify ด้วยการเดารหัสผ่านไปเรื่อยๆ จนสามารถล็อกอินบัญชีผู้ใช้ได้ประมาณ 300,000 ถึง 350,000 ราย จากฐานข้อมูลที่มีชื่อผู้ใช้ทั้งหมด 380 ล้านรายการ

ฐานข้อมูล Elasticsearch ที่เปิดสู่อินเทอร์เน็ตนี้ไม่ได้มาจาก Spotify เอง แต่คาดว่าแฮกเกอร์น่าจะรวบรวมรายชื่อผู้ใช้มาจากแหล่งอื่นๆ จากนั้นค้นหาว่ามีบัญชีใดใช้รหัสผ่านที่คาดเดาได้ง่าย (credential stuffing attack)

ทาง vpnMentor พบฐานข้อมูลนี้ตั้งแต่ต้นเดือนกรกฎาคมที่ผ่านมาแล้วจึงแจ้งไปยัง Spotify ทางบริษัทได้ไล่รีเซ็ตรหัสผ่านของบัญชีที่ถูกแฮกในห้วงเวลา 12 วันหลังได้รับแจ้ง

แม้ตัวฐานข้อมูลจะไม่ได้หลุดมาจาก Spotify เองแต่ทาง vpnMentor ก็วิจารณ์ว่า Spotify สามารถลดการโจมตีแบบนี้ได้ด้วยการตรวจสอบความแข็งแกร่งของรหัสผ่าน และตรวจสอบว่าผู้ใช้รายใดใช้รหัสผ่านที่อยู่ในฐานข้อมูลที่เปิดเผยออกมาก่อนแล้ว

ที่มา - vpnMentor