安全研究人員宣布，發(fā)現(xiàn)了一個數(shù)據(jù)庫，該數(shù)據(jù)庫為被黑客竊取并存儲在沒有任何密碼的云服務器上的Spotify用戶提供了至少350,000個密碼，任何想要訪問該數(shù)據(jù)庫的人都可以使用他們。

來自安全網(wǎng)站vpnMentor的研究人員Ran Locar和Noam Rotem致力于一個掃描互聯(lián)網(wǎng)中不受保護數(shù)據(jù)的項目，發(fā)現(xiàn)了這個龐大的數(shù)據(jù)庫，該數(shù)據(jù)庫也可能已被其他黑客發(fā)現(xiàn)并復制。

Locar在CNET網(wǎng)站的一次采訪中警告說，選擇帳戶密碼時應遵循的基本原則：“最終用戶的教訓是：不要回收您的密碼。最終，其中之一將被暴露。”對他來說，在多個站點和應用程序中重復使用相同的密碼是最危險的事情之一，因為它會暴露您的所有登錄信息。

獲得Spotify密碼的黑客無需破壞流服務的系統(tǒng)。密碼的捕獲僅取決于先前漏洞中盜取的登錄緩存，并且一點耐心地對其進行逐一測試。

據(jù)CNET稱，攻擊者之所以成功，僅僅是因為Spotify帳戶持有人正在重用他們在互聯(lián)網(wǎng)上擁有的其他帳戶的密碼，這是一個基本的安全錯誤。黑客只是使用一種稱為憑證填充的技術(shù)，對音樂服務中的組合進行了實驗。

目前尚不清楚黑客使用15萬個被盜密碼在做什么。這些帳戶通常以折扣價出售給其他用戶，或者被欺詐地用于提高某些歌曲的性能。Spotify已經(jīng)請求為所有受影響的用戶重置密碼。