Wir benutzen Cookies, um die Nutzerfreundlichkeit der Website zu verbessern. Durch deinen Besuch stimmst du der Datenschutzerklärung zu.
Alles klar!
BASIC thinking Logo Dark Mode BASIC thinking Logo Dark Mode
  • TECH
    • Apple
    • Android
    • ChatGPT
    • Künstliche Intelligenz
    • Meta
    • Microsoft
    • Quantencomputer
    • Smart Home
    • Software
  • GREEN
    • Elektromobilität
    • Energiewende
    • Erneuerbare Energie
    • Forschung
    • Klima
    • Solarenergie
    • Wasserstoff
    • Windkraft
  • SOCIAL
    • Facebook
    • Instagram
    • TikTok
    • WhatsApp
    • X (Twitter)
  • MONEY
    • Aktien
    • Arbeit
    • Die Höhle der Löwen
    • Finanzen
    • Start-ups
    • Unternehmen
    • Marketing
    • Verbraucherschutz
Newsletter
Font ResizerAa
BASIC thinkingBASIC thinking
Suche
  • TECH
  • GREEN
  • SOCIAL
  • MONEY
  • ENTERTAIN
  • NEWSLETTER
Folge uns:
© 2003 - 2025 BASIC thinking GmbH
Spotify, Credential Stuffing
SOCIALTECH

300.000 Nutzerdaten im Netz: Was Spotify-Nutzer jetzt wissen sollten

Vivien Stellmach
Aktualisiert: 17. Februar 2025
von Vivien Stellmach
300.000 Spotify-Zugangsdaten lagen ungeschützt im Netz. (Foto: Unsplash.com / willianjusten)
Teilen

Sicherheitsforscher haben im Netz eine ungeschützte Datenbank gefunden, in denen Kriminelle die Zugangsdaten von über 300.000 Spotify-Nutzern gesammelt haben. Die Datenbank stammt offenbar nicht von Spotify selbst und dient zum Credential Stuffing.

Die beiden Forscher Noam Rotem und Ran Locar arbeiten für die Virtual-Private-Network-Website VPN Mentor. Sie haben am 3. Juli 2020 die verifizierten Zugangsdaten von über 300.000 Spotify-Nutzern gefunden – und zwar in einer ungeschützten Elasticsearch-Datenbank.

Elasticsearch ist eine Open-Source-Suchmaschine, die Dokumente verschiedener Formate sucht und indexiert. Dort haben die Täter laut VPN Mentor eine eigene, rund 72 Gigabyte große Datenbank mit 380 Millionen Einträgen offen im Netz geführt.

In einem Blog-Eintrag erklären die Forscher, dass die Datenbank nicht von Spotify selbst stammt. Die Kriminellen hätten die Daten mit sogenanntem Credential Stuffing erhoben und die Liste angelegt.

Was ist Credential Stuffing?

Credential Stuffing ist eine Methode, bei der Angreifer mit gestohlenen Anmeldedaten (Credentials) versuchen, sich in weitere Dienste einzuloggen.

Die Täter können mit den gestohlenen Spotify-Zugangsdaten versuchen, sich beispielsweise in sozialen Netzwerken oder anderen zahlungspflichtigen Streaming-Diensten wie Netflix anzumelden. Ebenso interessant sind E-Mail-Accounts und Bankkonten.

Sie spekulieren darauf, dass Nutzer dieselben Anmeldedaten für mehrere Dienste verwenden und verfolgen das Ziel, mit den gehackten Daten Gewinne zu erzielen.

Wie funktioniert Credential Stuffing?

Angreifer benötigen für Credential Stuffing vier Komponenten:

  • gestohlene Login-Daten
  • beliebte Online-Dienste, die sie angreifen wollen
  • eine Technik, um unterschiedliche IP-Adressen als Absender zu verwenden
  • ein Computerprogramm, das vollautomatisch Login-Versuche bei den Online-Diensten unternimmt

Die Computerprogramme versuchen sich mit den gestohlenen Login-Daten bei einem Dienst nach dem anderen einzuloggen. Die Absender-IP-Adresse wird dabei immer wieder verändert, damit der Zielserver nicht die Login-Versuche blockiert.

Wenn die Anzahl fehlgeschlagener Login-Versuche zu hoch wird, sperrt jeder gut konfigurierte Server nämlich die IP-Adresse. Sobald ein Login gelingt, greift das Computerprogramm die oben aufgelisteten Daten ab und speichert sie für spätere Zwecke wie etwa Phishing-Attacken ab.

Was können Angreifer mit den gestohlenen Daten noch machen?

Credential Stuffing ist eine sehr erfolgreiche Angriffsmethode, weil viele Internet-Nutzer dieselben Anmeldedaten für verschiedene Plattformen und Dienste verwenden.

Die Angreifer könnten die Spotify-Zugangsdaten beispielsweise auch nutzen, um gefälschte Rechnungen zu versenden oder Schadsoftware zu installieren.

Außerdem hätte die Datenbank von Dritten entdeckt und missbraucht werden können, da sie ungeschützt im Netz zu finden war. VPN Mentor meldete den Fall sechs Tage nach Entdeckung am 9. Juli 2020 an Spotify und brachte ihn nun an die Öffentlichkeit.

Spotify hat betroffene Nutzer bereits kontaktiert und sie aufgefordert, ihre Zugangsdaten zu ändern.

Wie kann ich Credential Stuffing verhindern?

Credential Stuffing funktioniert nur so gut, weil viele Nutzer immer wieder dieselben Passwörter verwenden. Hinzu kommt, dass das Hasso-Plattner-Institut (HPI) die beliebtesten Passwörter der Deutschen 2019 veröffentlicht hatte – und die waren erschreckend simpel.

Passwörter wie „123456“ sind natürlich sehr einfach zu knacken. Wenn Nutzer sie dann auch noch für mehrere Konten nutzen, steht einer Credential-Stuffing-Attacke nicht mehr viel im Weg.

Es ist deshalb wichtig, immer verschiedene Zugangsdaten für verschiedene Plattformen zu verwenden. Die Kennwörter kann man – falls es unbedingt sein muss – in einem kleinen Heft sammeln oder digital mit einer Passwort-Manager-App verwalten.

Auf diese Art schützt du dich vor Credential Stuffing. Für zusätzliche Sicherheit, kannst du auch die Zwei-Faktor-Authentifizierung aktivieren, wenn sie verfügbar ist.

Auch interessant:

  • Gewusst wie: So startest du eine Private Session bei Spotify
  • 8 geniale Spotify-Tricks, die die App noch besser machen
  • Spotify Podcast: So will die Plattform mit deinen Daten Geld verdienen
  • Spotify-Algorithmus beeinflussen: Spotify erlaubt Künstlern, sich einzukaufen
Kleines Kraftwerk

Anzeige

STELLENANZEIGEN
Sachbearbeiter Verwaltungsdigitalisierung (m/...
Landratsamt Schwäbisch Hall in Schwäbisch Hall
BASIC thinking Freiberuflicher Redakteur (m/w/d)
BASIC thinking GmbH in Home Office
Content Creator Text, Bild & Video (w|m|d)
SWK AG in Krefeld
Digital Marketing Manager / Content Creator (...
eltherm GmbH in Burbach
Sachbearbeiter*in Presse- und Öffentlichkeits...
Landeshauptstadt Düsseldorf in Düsseldorf
Content Creator Marketing (m/w/d)
Stadtwerke Herne AG in Herne

Du willst solche Themen nicht verpassen? Mit dem BASIC thinking UPDATE, deinem täglichen Tech-Briefing, starten über 10.000 Leser jeden Morgen bestens informiert in den Tag. Jetzt kostenlos anmelden:

Mit deiner Anmeldung bestätigst du unsere Datenschutzerklärung

THEMEN:CybersecurityDatenschutzSpotifyStreaming
Teile diesen Artikel
Facebook Flipboard Whatsapp Whatsapp LinkedIn Threads Bluesky Email
vonVivien Stellmach
Vivien Stellmach war von Mai 2019 bis November 2020 Redakteurin bei BASIC thinking.
Kleines Kraftwerk

Anzeige

EMPFEHLUNG
Online-Speicher Internxt
Einmal zahlen, ein Leben lang Online-Speicher erhalten
Anzeige TECH
UPDATE – DEIN TECH-BRIEFING

Jeden Tag bekommen 10.000+ Abonnenten von uns die wichtigsten Tech-News direkt in die Inbox. Abonniere jetzt dein kostenloses Tech-Briefing:

Mit deiner Anmeldung bestätigst du unsere Datenschutzerklärung

LESEEMPFEHLUNGEN

Metafolie, Klimaanlage, Bioplastik, Umwelt, Energie, Strom, Kühlung, Forschung, Wissenschaft
GREENTECH

Alternative zur Klimaanlage: Metafolie aus Bioplastik kühlt Gebäude – ohne Strom

Wasserstoff Methan Plasmalyse
TECH

Wasserstoff aus Methan: Plasmalyse soll fünfmal weniger Strom verbrauchen

Künstliche Intelligenz nachhaltiger KI Nachhaltigkeit
GREENTECH

Studie: Wie Künstliche Intelligenz nachhaltiger werden kann

TeleGuard WhatsApp Alternative Messenger App
SOCIALTECH

TeleGuard: Alles, was du über die WhatsApp-Alternative wissen musst

mistbesuchten Websites der WEtl
TECH

Die meistbesuchten Websites der Welt

RTT, Funktion, Barrierefreiheit, Kommunikation, Nachrichten, Text, Messaging, Smartphone, Notfall, Anddroid, iOS, iPhone, Samsung, Google, Apple
TECH

RTT: Echtzeitnachrichten während des Telefonierens verschicken – so geht’s

Mehr anzeigen
Folge uns:
© 2003 - 2025 BASIC thinking GmbH
  • Über uns
  • Mediadaten
  • Impressum
  • Datenschutz
Welcome Back!

Sign in to your account

Username or Email Address
Password

Lost your password?