स्पॉटिफ़ ने 350,000 खातों के पासवर्ड को रीसेट कर दिया है, क्योंकि शोधकर्ताओं ने ऑनलाइन एक डेटाबेस पाया जिसमें 380 मिलियन रिकॉर्ड थे, जिसमें संगीत स्ट्रीमिंग सेवा के लिए लॉगिन क्रेडेंशियल शामिल थे।
क्रेडेंशियल स्टफिंग स्कीम में स्पॉट किए गए लक्ष्य
नोआम रोटेम और रान लोकार के नेतृत्व में vpnMentor की शोध टीम ने दावा किया है कि उन्होंने एक संभावित क्रेडेंशियल स्टफिंग ऑपरेशन की खोज की है।
क्रेडेंशियल स्टफिंग वह जगह है जहां उपयोगकर्ता नाम और पासवर्ड एक लीक से प्राप्त किए जाते हैं और फिर उसी विवरण का पुन: उपयोग करने वाले अन्य खातों तक पहुंच प्राप्त करने के लिए उपयोग किया जाता है।
एक वेब मैपिंग प्रोजेक्ट के दौरान, रिसर्च टीम एक एलीस्टिक्स खोज डेटाबेस में आई, जिसमें 380 मिलियन से अधिक रिकॉर्ड थे और कुल 32 जीबी थे। Spotify के खिलाफ लॉगिन क्रेडेंशियल थे, जिन्हें मान्य किया जा रहा था।
हैकिंग ऑपरेशन की बारीकियां अज्ञात हैं। डेटाबेस की उत्पत्ति और कैसे Spotify लक्षित किया गया था एक रहस्य बना हुआ है। फिर भी, रिसाव तीसरी पार्टी से आता है जिसने डेटा को एन्क्रिप्ट नहीं किया था, बल्कि खुद Spotify के बजाय।
Spotify रीसेट उपयोगकर्ता पासवर्ड
vpnMentor ने 3 जुलाई, 2020 को लीक की खोज की और फिर 9 जुलाई, 2020 को इसकी समीक्षा की। इस देरी का कारण शोधकर्ताओं को एक रिपोर्ट बनाने और इसके संभावित प्रभाव को समझने के साथ-साथ एक ऐसी रिपोर्ट तैयार करना है, जिसे हर कोई समझ सके। इसे कौन पढ़ता है।
लीक की समीक्षा किए जाने के बाद, अनुसंधान टीम ने उसी दिन Spotify से संपर्क किया। Spotify ने जवाब दिया, फिर 10 जुलाई और 21 जुलाई, 2020 के बीच कार्रवाई की।
इसमें 350,000 उपयोगकर्ताओं के पासवर्ड रीसेट करना शामिल था। जबकि Spotify के 320 मिलियन मासिक सक्रिय उपयोगकर्ताओं की तुलना में यह महासागर में एक बूंद हो सकता है, यह अभी भी लोगों की पर्याप्त मात्रा है।
डेटाबेस के भीतर निहित जानकारी के प्रकार में ईमेल पते, पासवर्ड और निवास के देश शामिल थे।
सर्वर आईपी पते को भी लीक में शामिल किया गया था, हालांकि vpnMentor ध्यान दें कि ये प्रॉक्सी सर्वरों से संभावना है कि डेटाबेस को व्यक्तिगत उपयोगकर्ताओं के बजाय होस्ट किया गया था।
आप अपनी सुरक्षा कैसे कर सकते हैं
इन खातों के जोखिम का कारण यह था कि उन्होंने कई सेवाओं में सरल या दोहराव वाले पासवर्ड का उपयोग किया था।
उदाहरण के लिए, डेटाबेस के एक रिकॉर्ड से पता चलता है कि किसी ने पासवर्ड के रूप में "स्पॉटिफाई" किया था। यह समझ में नहीं आता कि यह असुरक्षित क्यों हो सकता है।
आपको हमेशा हर एक वेबसाइट के लिए एक अद्वितीय पासवर्ड का चाहिए। एक पासवर्ड मैनेजर आपको इसे बनाए रखने में मदद कर सकता है, इसलिए आपको अपनी मेमोरी पर भरोसा करने की आवश्यकता नहीं है।
बहुत कम से कम, सुनिश्चित करें कि आपके पास लंबे पासवर्ड हैं जिनमें सरल शब्द नहीं हैं, ऊपरी और निचले मामले में भिन्न हैं, विशेष वर्ण हैं, और अपने बारे में जानकारी शामिल नहीं करते हैं।