Entdeckt wurde der Angriff von der Plattform "VPNMentor", die VPN-Dienste analysiert.

Foto: reuters

Es ist keine besonders gute Idee, die gleichen Login-Daten auf mehreren Webseiten zu nutzen. Ein Fallbeispiel dafür bietet ein aktueller Hackangriff beim Streamingdienst Spotify: Die Konten von über 300.000 Nutzern wurden von Unbekannten übernommen. Nutzern fiel das auf, weil ihre Daten geändert wurden, neue Playlisten plötzlich im Profil erschienen oder unbekannte Konten plötzlich Teil des Familyabos wurden. Möglich war das, indem die Informationen einer Datenbank mit über 380 Millionen Einträgen verwertet wurden.

Nutzerdaten aus alten Hacks

Hacker setzen auf sogenannte Credential-Stuffing-Angriffe als eine Art Nebenprodukt zuvorgehender Zugriffe. So werden im Regelfall jene Daten, die bei anderen Hacks von Services entwendet wurden, nach einiger Zeit im Netz veröffentlicht, oft kostenlos. Angreifer stellen derartige "Sammlungen" zur Verfügung – in diesem Fall waren es Informationen von über 300 Millionen Konten –, die dann von weiteren Usern verwertet werden. So probiert ein Hacker einfach die vorliegenden Daten bei weiteren Diensten aus. Im konkreten Fall konnte so der Zugriff auf zwischen 300.000 und 350.000 Spotify-Konten sichergestellt werden.

Entdeckt wurde der Angriff von der Plattform "VPNMentor", die VPN-Dienste analysiert. Spotify wurde Anfang Juli informiert, das Unternehmen setzte alle betroffenen Konten zurück und informierte betroffene User. Bei dem Streamingdienst gibt es noch keine Zweifaktorauthentifizierung, die als besonders sicher gilt. In einem solchen Fall müssen User sich beispielsweise noch anhand einer Bestätigungs-SMS verifizieren, bevor sie sich einloggen können. (red, 24.11.2020)