WahanaNews.co |
Belum lama ini, platform streaming musik Spotify telah menerbitkan notifikasi
dan resetting password secara bergulir, yang ditujukan pada sebagian akun
pengguna. Langkah ini pascatemuan database terbuka dengan konten kredensial
pengguna.
Baca Juga:
Spotify Lakukan PHK Kepada 1.500 Karyawan
Menurut laporan ZDnet, peneliti vpnMentor, Noam Rotem dan
Ran Locar mempublikasikan temuan mereka yang menyebut ada sebuah database
Elasticsearch terbuka saat melakukan proyek pemetaan web perusahaan. Saat itu
ditemukan basis data 72 GB berisi lebih dari 380 juta catatan password dan
email.
"Termasuk kredensial login dan data pengguna lain yang
divalidasi terhadap layanan Spotify," kata tim tersebut.
Asal-usul catatan tersebut tidak diketahui, tetapi Rotem dan
Locar berpikir bahwa database dikompilasi dari sumber yang berbeda, termasuk
data dump yang dicuri. Platform Spotify sendiri tidak dibobol atau diretas.
Baca Juga:
Susul Google, Spotify Siap-siap PHK Karyawan
Berdasarkan catatan yang ditemukan peneliti, kredensial
pengguna Spotify bisa saja dicuri dari tempat lain. Lalu, kenapa bisa cocok?
Hal ini terjadi karena mengingat bahwa pengguna Spotify suka
menggunakan kembali password yang sama untuk layanan yang berbeda. Masuk akal
bagi hacker untuk mencoba masuk ke berbagai akun menggunakan kredensial yang
sama dengan harapan dapat berfungsi.
"Kredensial ini kemungkinan besar diperoleh secara
ilegal atau berpotensi bocor dari sumber lain yang digunakan kembali untuk
serangan pengisian kredensial terhadap Spotify," kata Rotem dan
Locar.
