30만 이상 Spotify 계정 ‘크리덴셜 스터핑’으로 해킹돼

Over 300K Spotify accounts hacked in credential stuffing attack

 

해커들이 다양한 출처에서 수집한 로그인 자격 증명 및 개인정보가 포함된 데이터베이스 기록 3.8억 건을 이용해 Spotify 계정의 접근 권한을 얻으려 시도하고 있었던 것으로 나타났습니다.

 

지난 수 년 동안, 많은 사용자들이 그들의 Spotify 계정의 비밀번호가 변경되고, 새로운 플레이리스트가 프로필에 표시되거나 가족 계정에 다른 국가에 거주하는 낯선 사람이 추가되어 있는 등 해킹 사건을 겪었다고 밝혔습니다.

 

 

<계정 해킹을 호소하는 Spotify 사용자들>

<이미지 출처: https://www.bleepingcomputer.com/news/security/over-300k-spotify-accounts-hacked-in-credential-stuffing-attack/>

 

 

로그인 자격 증명을 포함한 3.8억건의 기록이 저장된 데이터베이스를 활용하여 Spotify 계정이 해킹되고 있다는 새로운 보고서가 공개되었습니다.

 

해킹된 Spotify 계정에 대한 사용자 정보, 3억 건 이상의 기록에 포함돼

 

계정 해킹에 흔히 사용되는 ‘크리덴셜 스터핑’ 공격은 공격자가 이전 보안 사고에서 유출된 ID/비밀번호 조합을 수집한 대규모 데이터베이스를 다른 온라인 플랫폼의 사용자 계정에 접근하기 위해 사용하는 것입니다.

 

오늘 VPNMentor는 Spotify를 노린 크리덴셜 스터핑 공격에 사용된 계정 및 비밀번호 조합 3억 개가 저장된 데이터베이스가 인터넷에 노출되었다는 보고서를 공개했습니다.

 

이 데이터베이스는 로그인 명(이메일 주소)과 비밀번호, 그리고 해당 자격 증명을 통해 Spotify 계정 로그인에 성공했는지 여부를 포함하고 있었습니다.

 

 

<노출된 데이터베이스의 기록>

<이미지 출처: https://www.vpnmentor.com/blog/report-spotify-scam/>

 

 

이 3억 건의 기록이 어떻게 수집되었는지는 알려지지 않았지만, 데이터 유출 사고나 공격자들이 무료로 공개한 크리덴셜을 최대한 수집했을 것으로 추측됩니다.

 

연구원들은 데이터베이스에 포함된 기록 3억 건을 이용하여 Spotify 계정 30~35만 개를 해킹할 수 있을 것이라 예상했습니다.

 

VPNMentor는 지난 7월 9일 Spotify에 연락해 노출된 데이터베이스와 계정 해킹에 대해 신고했으며 같은 날 답변을 받았습니다.

 

연구원들은 아래와 같이 설명했습니다.

 

“Spotify는 우리의 신고를 받고 영향을 받은 모든 사용자의 비밀번호를 ‘롤링 리셋’하기 시작했습니다. 따라서 해당 데이터베이스의 데이터가 이제는 쓸모 없게 될 것입니다.”

 

하지만 Bleeping Computer에서 연락한 Spotify 계정의 주인은 최근 비밀번호 재설정 요청을 받은 적이 없기 때문에 ‘롤링 리셋’이 무슨 뜻인지는 정확히 알 수 없었습니다.

 

Spotify는 많은 사용자들이 요구했음에도 계정의 보안을 크게 향상시킬 수 있는 다단계 인증을 지원하지 않았습니다.

 

Bleeping Computer는 Spotify 측에 해당 데이터베이스와 고객에 미치는 영향에 대한 질문을 보냈지만 아직까지 응답을 받을 수 없었습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/over-300k-spotify-accounts-hacked-in-credential-stuffing-attack/

https://www.vpnmentor.com/blog/report-spotify-scam/