Spotify setzt Passwörter zurück – wegen „verdächtigen Aktivitäten“
In einer E-Mail wurden einige Benutzer des Streaming-Riesen Spotify darüber informiert, dass ihr Passwort „aufgrund einer festgestellten verdächtigen Aktivität“ zurückgesetzt wurde. Weitere Details blieb das Unternehmen allerdings schuldig.
Handelt es sich um eine Stuffing-Attacke?
Wie aus einem Statement von Spotify-Sprecher Peter Collins hervorgeht, handelt es sich um eine sogenannte Stuffing-Attacke, bei der Hacker Listen mit Benutzernamen und Kennwörtern von anderen Websites abrufen und so in Konten bei anderen Diensten eindringen, bei denen die gleichen Anmeldedaten verwendet werden.
„Als Teil unserer laufenden Wartungsarbeiten zur Bekämpfung betrügerischer Aktivitäten in unserem Service haben wir kürzlich eine Mitteilung an ausgewählte Benutzer geschickt, um vorsorglich ihre Passwörter zurückzusetzen. Als bewährte Methode empfehlen wir Benutzern dringend, nicht dieselben Anmeldeinformationen für verschiedene Dienste zu verwenden, um sich selbst zu schützen“, erklärte Collins weiter.
Laut Techcrunch gibt es allerdings Zweifel, ob es sich wirklich wie von Spotify kommuniziert um eine Stuffing-Attacke handelt, da sich Betroffene meldeten, die für Spotify eindeutig ein einmaliges Passwort, das nirgendwo anders verwendet wurde, benutzen.
Es ist nicht ungewöhnlich, dass Unternehmen Benutzerpasswörter zurücksetzen, wenn sie glauben, dass sie zu schwach sind oder leicht erraten werden können. Sollten Listen mit gestohlenen Passwörtern auftauchen, können Unternehme diese mit ihren eigenen Datenbanken abgleichen und proaktiv E-Mails zum Zurücksetzen der Passwörter versenden. Oftmals passiert das auch nach Datenschutzverletzungen. Ob es in diesem Fall eine solche Verletzung gab, wollte Spotify auf Nachfrage von Techcrunch nicht beantworten.
Gestern Abend hat bei mir die Wiedergabe ausgesetzt mit der Ansage, ich wäre mit meinem Konto bereits auf einem anderen Gerät aktiv angemeldet. Was absolut nicht der Fall war. Kurz danach lief alles wieder. Also tatsächlich mal besser das pw ändern :)