Sicherheitsforscher haben im Netz eine ungeschützte Datenbank gefunden, in denen Kriminelle die Zugangsdaten von über 300.000 Spotify-Nutzern gesammelt haben. Die Datenbank stammt offenbar nicht von Spotify selbst und dient zum Credential Stuffing.
Die beiden Forscher Noam Rotem und Ran Locar arbeiten für die Virtual-Private-Network-Website VPN Mentor. Sie haben am 3. Juli 2020 die verifizierten Zugangsdaten von über 300.000 Spotify-Nutzern gefunden – und zwar in einer ungeschützten Elasticsearch-Datenbank.
Elasticsearch ist eine Open-Source-Suchmaschine, die Dokumente verschiedener Formate sucht und indexiert. Dort haben die Täter laut VPN Mentor eine eigene, rund 72 Gigabyte große Datenbank mit 380 Millionen Einträgen offen im Netz geführt.
In einem Blog-Eintrag erklären die Forscher, dass die Datenbank nicht von Spotify selbst stammt. Die Kriminellen hätten die Daten mit sogenanntem Credential Stuffing erhoben und die Liste angelegt.
Was ist Credential Stuffing?
Credential Stuffing ist eine Methode, bei der Angreifer mit gestohlenen Anmeldedaten (Credentials) versuchen, sich in weitere Dienste einzuloggen.
Die Täter können mit den gestohlenen Spotify-Zugangsdaten versuchen, sich beispielsweise in sozialen Netzwerken oder anderen zahlungspflichtigen Streaming-Diensten wie Netflix anzumelden. Ebenso interessant sind E-Mail-Accounts und Bankkonten.
Sie spekulieren darauf, dass Nutzer dieselben Anmeldedaten für mehrere Dienste verwenden und verfolgen das Ziel, mit den gehackten Daten Gewinne zu erzielen.
Wie funktioniert Credential Stuffing?
Angreifer benötigen für Credential Stuffing vier Komponenten:
- gestohlene Login-Daten
- beliebte Online-Dienste, die sie angreifen wollen
- eine Technik, um unterschiedliche IP-Adressen als Absender zu verwenden
- ein Computerprogramm, das vollautomatisch Login-Versuche bei den Online-Diensten unternimmt
Die Computerprogramme versuchen sich mit den gestohlenen Login-Daten bei einem Dienst nach dem anderen einzuloggen. Die Absender-IP-Adresse wird dabei immer wieder verändert, damit der Zielserver nicht die Login-Versuche blockiert.
Wenn die Anzahl fehlgeschlagener Login-Versuche zu hoch wird, sperrt jeder gut konfigurierte Server nämlich die IP-Adresse. Sobald ein Login gelingt, greift das Computerprogramm die oben aufgelisteten Daten ab und speichert sie für spätere Zwecke wie etwa Phishing-Attacken ab.
Was können Angreifer mit den gestohlenen Daten noch machen?
Credential Stuffing ist eine sehr erfolgreiche Angriffsmethode, weil viele Internet-Nutzer dieselben Anmeldedaten für verschiedene Plattformen und Dienste verwenden.
Die Angreifer könnten die Spotify-Zugangsdaten beispielsweise auch nutzen, um gefälschte Rechnungen zu versenden oder Schadsoftware zu installieren.
Außerdem hätte die Datenbank von Dritten entdeckt und missbraucht werden können, da sie ungeschützt im Netz zu finden war. VPN Mentor meldete den Fall sechs Tage nach Entdeckung am 9. Juli 2020 an Spotify und brachte ihn nun an die Öffentlichkeit.
Spotify hat betroffene Nutzer bereits kontaktiert und sie aufgefordert, ihre Zugangsdaten zu ändern.
Wie kann ich Credential Stuffing verhindern?
Credential Stuffing funktioniert nur so gut, weil viele Nutzer immer wieder dieselben Passwörter verwenden. Hinzu kommt, dass das Hasso-Plattner-Institut (HPI) die beliebtesten Passwörter der Deutschen 2019 veröffentlicht hatte – und die waren erschreckend simpel.
Passwörter wie „123456“ sind natürlich sehr einfach zu knacken. Wenn Nutzer sie dann auch noch für mehrere Konten nutzen, steht einer Credential-Stuffing-Attacke nicht mehr viel im Weg.
Es ist deshalb wichtig, immer verschiedene Zugangsdaten für verschiedene Plattformen zu verwenden. Die Kennwörter kann man – falls es unbedingt sein muss – in einem kleinen Heft sammeln oder digital mit einer Passwort-Manager-App verwalten.
Auf diese Art schützt du dich vor Credential Stuffing. Für zusätzliche Sicherheit, kannst du auch die Zwei-Faktor-Authentifizierung aktivieren, wenn sie verfügbar ist.
Auch interessant:
