Spotify’daki bir güvenlik hatası nedeniyle binlerce kullanıcının şifresi sıfırlandı

Spotify, açıklanmayan sayıda kullanıcı şifresini sıfırladığını açıkladı. Kaliforniya Başsavcılığına yapılan veri ihlali bildiriminde, kullanıcıların e-posta adresi, tercih ettiği görünen adı, şifresi, cinsiyeti ve doğum tarihi gibi ifşa edilen bilgilerinin yalnızca Spotify’ın belirli iş ortaklarına ait olabileceğini söylendi. Şirket, iş ortaklarının adını vermedi, ancak bu bilgileri herkese açık hale getirmediğinin altını çizdi.

Spotify, güvenlik açığının 9 Nisan’dan beri var olduğunu, ancak 12 Kasım’a kadar keşfedilmediğini söyledi. Ancak çoğu veri ihlali bildiriminde olduğu gibi Spotify da güvenlik açığının ne olduğunu veya kullanıcı hesabı verilerinin nasıl açığa çıktığını açıklamadı.

Veri ihlali bildiriminde Spotify, şirket içi bir araştırma yürüttüklerini ve istemeden ifşa edilmiş olabilecek kişisel bilgilerin silinmesini sağlamak için hesap bilgilerine erişimi olabilecek tüm iş ortaklarıyla iletişime geçtiklerini söyledi. Spotify sözcüsü Adam Grossberg, Spotify kullanıcılarının oldukça azının bu durumdan etkilendiğini doğruladı, ancak belirli bir rakam vermedi. Zira Spotify’ın 320 milyondan fazla kullanıcısı ve 144 milyon premium abonesi var; bu da “minimum” olarak adlandırılabilecek bir miktarda bile binlerce kullanıcının bu durumdan etkilendiği anlamına geliyor.

Geçtiğimiz ay güvenlik araştırmacıları, bilgisayar korsanları tarafından işletilen ve yaklaşık 300 bin çalıntı kullanıcı şifresi içerdiği iddia edilen güvenli olmayan bir veritabanı buldular. Veritabanı, muhtemelen, çalınan parolaların listelerinin aynı parolayı kullanan farklı web siteleriyle eşleştirildiği kimlik bilgilerini doldurma saldırıları başlatmak için kullanıldı. Bu durumda açığa çıkan veriler Spotify’dan gelmese bile şirket, bundan etkilenen kullanıcı hesaplarındaki parolalar sıfırlandı.