Spotify được cho là đang bắt đầu quá trình đặt lại mật khẩu của hơn 350.000 tài khoản đã bị xâm phạm trong một một cuộc tấn công credential stuffing (tạm dịch: Nhồi thông tin danh tính) mới được phát hiện cách đây không lâu.
Cụ thể, hai nhà nghiên cứu bảo mật Ran Locar và Noam Rotem đến từ công ty an ninh mạng có tên vpnMentor (thuộc ZDNet) mới đây đã tình cờ tìm thấy một lượng lớn dữ liệu tài khoản Spotify bị đánh cắp trong khi đang triển khai dự án scan mạng internet để tìm các dữ liệu không an toàn định kỳ. Theo nhận định ban đầu của các chuyên gia, dữ liệu rò rỉ có thể đã bị kẻ gian sử dụng để giành quyền truy cập vào nền tảng phát nhạc trực tuyến này, hoặc rao bán nhằm thu lợi bất chính. Sau khi có được mật khẩu và quyền truy cập vào các tài khoản bị rò rỉ, kẻ gian hoàn toàn có thể cho thuê lại với giá rẻ, cũng như sử dụng để gian lận lượt view, stream cho các ca khúc được trả tiền. Đáng lo ngại hơn, số lượng người đã có quyền truy cập và sở hữu danh sách 350.000 tài khoản này vẫn còn là một ẩn số.
Nhồi thông tin danh tính là kỹ thuật tấn công mà ở đó, hacker thường sử dụng một lượng lớn thông tin đăng nhập (mua trên dark web hoặc thu thập từ các vụ vi phạm bảo mật lớn) để hack vào tài khoản người dùng tương ứng trên các website mua sắm trực tuyến, website của nhà bán lẻ và nhà cung cấp dịch vụ nói chung. Thông tin tài khoản bị đánh cắp thường bao gồm danh sách tên người dùng, địa chỉ email và mật khẩu tương ứng. Theo thống kê, hơn 10 tỷ cuộc tấn công credential stuffing đã được hacker triển khai hướng tới các trang dịch vụ trên toàn cầu trong năm 2019.
“Cầu nối” đảm bảo sự thành công cho các cuộc tấn công nhồi nhét thông tin danh tính chủ yếu nằm ở thói quen tái sử dụng một mật khẩu chung từ nhiều tài khoản dịch vụ khác nhau của người dùng. Chẳng hạn khi bạn sử dụng chung một mật khẩu duy nhất cho nhiều tài khoản trên các trang web khác nhau, thì nếu trang web A bị xâm phạm và tin tặc nắm được địa chỉ email cũng như mật khẩu của bạn, chúng có thể dễ dàng chiếm nốt quyền truy cập vào tài khoản ở trang web B, C... Trong trường hợp của Spotify, điều đáng nói là bản thân nền tảng stream nhạc này lại không bị vi phạm, mà dữ liệu đăng nhập của người dùng được tổng hợp từ nhiều vụ hack khác nhau.
Các chuyên gia vpnMentor cũng đã tìm thấy các kho lưu trữ địa chỉ IP mà các hacker sử dụng - nhiều khả năng là địa chỉ proxy server đã được chúng dùng trong một thời gian dài. Dữ liệu này có thể giúp điều tra các vấn đề liên quan.
Hiện tại, song song với việc đặt lại mật khẩu cho các tài khoản bị xâm phạm, phía Spotify cũng khuyến khích người dùng không nên tái sử dụng mật khẩu để đảm bảo an toàn. Trong trường hợp người dùng sở hữu quá nhiều tài khoản khác nhau, có thể sử dụng các công cụ quản lý mật khẩu chuyên nghiệp để bảo đảm an toàn cho mình.