350,000個Spotify密碼被盜,遺留在不受保護的數據庫中
一組不良行為者在服務器上存儲了大約350,000個非法獲得的Spotify帳戶密碼,沒有進行加密或任何形式的保護。並非通過違反Spotify用戶數據庫來獲取數據,而是通過憑據填充來獲取數據。
憑據填充的原理依賴於人們在不同的網站或服務上重用其密碼。這正是有問題的黑客組織如何使用這350,000個Spotify密碼的方式。不良行為者使用了多次密碼洩漏,並開始將以前洩漏的密碼與Spotify帳戶進行混合和匹配,直到找到有效的匹配為止。
但是,不良行為者還認為,在沒有任何保護的情況下,將非法獲取的密碼存儲在服務器上是個好主意。這使正在網上掃描不安全數據庫的安全研究人員可以發現並識別密碼轉儲。
此事件再次強調了切勿在設備,網站或服務之間重複使用密碼的重要性。密碼重用所帶來的便利永遠不值得那些服務之一被破壞或洩露您的密碼以及不良行為者隨後能夠使用它來訪問您的其他帳戶的危險。
憑據填充使黑客可以訪問您認為安全的帳戶,因為相關服務或站點從未遭受數據洩露。但是,使用重用密碼從一個位置洩漏可能會導致黑客破壞共享相同密碼字符串的所有其他帳戶。
密碼管理器可以幫助為每個單獨的帳戶維護各種複雜的密碼。該軟件不僅可以維護您的密碼數據庫,還可以為您提供有關如何提出強密碼或將您喜歡的和容易記住的密碼字符串多樣化為更安全的建議。
November 27, 2020
