스포티파이(Spotify)가 유출된 사이버 공격에 이용되는 데이터베이스 3억 8,000만 건에 사용자 로그인 자격 증명과 기타 정보가 포함되어 있다는 보고를 받고 사용자 암호를 순차적으로 재설정하는 지원을 실시하고 있다.
유출 정보는 스포티파이 사용자 정보를 포함하고 있지만 스포티파이 자체가 해킹 피해를 입은 건 아니다. 이번 정보는 다른 서비스에서 유출됐다는 것. 이 정보는 VPN멘토(vpnMentor)라는 정보 보안 기업이 발견한 것.
발견된 정보는 크리덴셜 스터핑(credential stuffing) 그러니까 다른 곳에서 유출된 아이디와 비번 등 로그인 정보로 다른 웹사이트나 앱에 무작위로 대입하는 공격에 이용하고 있다. 만일 정보가 유출된 사이트 A 사용자가 같은 이름과 암호 조합을 사이트 B에서 사용한다면 해커가 양쪽 사이트에 모두 공격, 침투를 노릴 수 있는 것이다.
VPN멘토는 7월 알 수 없는 출처 정보 데이터베이스를 발견하고 여기에 스포티파이 사용자 정보가 포함되어 있다는 걸 나타내는 걸 확인해 며칠 뒤 스포티파이에 연락을 취했다. 이 정보에는 30만에서 35만 계정이 포함된 이메일 주소나 개인 정보, 국적, 사용자 이메일과 암호가 포함되어 있었다고 한다. 이런 데이터는 암호화되어 있지 않아 이 데이터베이스에 포함된 사용자는 계정 탈취나 사용자명, 암호가 유출되어 다른 서비스에 무단 액세스하는데 악용될 수 있다.
스포티파이 측은 자체 계정 정보를 적절하게 보호할 수 있는지 우려하는 사용자를 위해 계정 보호를 위한 조언 등을 담은 페이지를 준비하고 있다. 관련 내용은 이곳에서 확인할 수 있다.