安全研究人員宣布，發(fā)現了一個(gè)數據庫，該數據庫為被黑客竊取并存儲在沒(méi)有任何密碼的云服務(wù)器上的Spotify用戶(hù)提供了至少350,000個(gè)密碼，任何想要訪(fǎng)問(wèn)該數據庫的人都可以使用他們。

來(lái)自安全網(wǎng)站vpnMentor的研究人員Ran Locar和Noam Rotem致力于一個(gè)掃描互聯(lián)網(wǎng)中不受保護數據的項目，發(fā)現了這個(gè)龐大的數據庫，該數據庫也可能已被其他黑客發(fā)現并復制。

Locar在CNET網(wǎng)站的一次采訪(fǎng)中警告說(shuō)，選擇帳戶(hù)密碼時(shí)應遵循的基本原則：“最終用戶(hù)的教訓是：不要回收您的密碼。最終，其中之一將被暴露。”對他來(lái)說(shuō)，在多個(gè)站點(diǎn)和應用程序中重復使用相同的密碼是最危險的事情之一，因為它會(huì )暴露您的所有登錄信息。

獲得Spotify密碼的黑客無(wú)需破壞流服務(wù)的系統。密碼的捕獲僅取決于先前漏洞中盜取的登錄緩存，并且一點(diǎn)耐心地對其進(jìn)行逐一測試。

據CNET稱(chēng)，攻擊者之所以成功，僅僅是因為Spotify帳戶(hù)持有人正在重用他們在互聯(lián)網(wǎng)上擁有的其他帳戶(hù)的密碼，這是一個(gè)基本的安全錯誤。黑客只是使用一種稱(chēng)為憑證填充的技術(shù)，對音樂(lè )服務(wù)中的組合進(jìn)行了實(shí)驗。

目前尚不清楚黑客使用15萬(wàn)個(gè)被盜密碼在做什么。這些帳戶(hù)通常以折扣價(jià)出售給其他用戶(hù)，或者被欺詐地用于提高某些歌曲的性能。Spotify已經(jīng)請求為所有受影響的用戶(hù)重置密碼。