WahanaNews.co |
Belum lama ini, platform streaming musik Spotify telah menerbitkan notifikasi
dan resetting password secara bergulir, yang ditujukan pada sebagian akun
pengguna. Langkah ini pascatemuan database terbuka dengan konten kredensial
pengguna.
Baca Juga:
Spotify Lakukan PHK Kepada 1.500 Karyawan
Menurut laporan ZDnet, peneliti vpnMentor, Noam Rotem dan
Ran Locar mempublikasikan temuan mereka yang menyebut ada sebuah database
Elasticsearch terbuka saat melakukan proyek pemetaan web perusahaan. Saat itu
ditemukan basis data 72 GB berisi lebih dari 380 juta catatan password dan
email.
"Termasuk kredensial login dan data pengguna lain yang
divalidasi terhadap layanan Spotify," kata tim tersebut.
Asal-usul catatan tersebut tidak diketahui, tetapi Rotem dan
Locar berpikir bahwa database dikompilasi dari sumber yang berbeda, termasuk
data dump yang dicuri. Platform Spotify sendiri tidak dibobol atau diretas.
Baca Juga:
Susul Google, Spotify Siap-siap PHK Karyawan
Berdasarkan catatan yang ditemukan peneliti, kredensial
pengguna Spotify bisa saja dicuri dari tempat lain. Lalu, kenapa bisa cocok?
Hal ini terjadi karena mengingat bahwa pengguna Spotify suka
menggunakan kembali password yang sama untuk layanan yang berbeda. Masuk akal
bagi hacker untuk mencoba masuk ke berbagai akun menggunakan kredensial yang
sama dengan harapan dapat berfungsi.
"Kredensial ini kemungkinan besar diperoleh secara
ilegal atau berpotensi bocor dari sumber lain yang digunakan kembali untuk
serangan pengisian kredensial terhadap Spotify," kata Rotem dan
Locar.
Diperkirakan sekitar 300.000 hingga 350.000 akun Spotify
terlibat dalam kebocoran tersebut, di mana alamat email, informasi identitas
pribadi, negara tempat tinggal, dan kredensial login, seperti username dan
password tersedia untuk dilihat.
Jadi, jika Anda masuk ke akun Spotify dan mendapatkan
notifikasi atau email yang menyatakan password telah di-reset, jangan khawatir.
Sebaiknya periksa ulang untuk memastikan bahwa Spotify yang mengirimkan email,
dan mungkin masuk ke akun secara langsung.
Anda juga harus mempertimbangkan menggunakan password yang
berbeda-beda setiap akun aplikasi dan membuatnya lebih kuat, serta sulit
ditebak hacker. [dhn]
