VPNMentor ได้เปิดเผยรายงานเกี่ยวกับฐานข้อมูลที่เปิดเผยบนอินเทอร์เน็ต ซึ่งมีรายการชื่อผู้ใช้และรหัสผ่าน 300 ล้านชุด โดยมีผู้โจมตีนำฐานข้อมูลดังกล่าวมาใช้เทคนิค Credential stuffing เพื่อพยายามเข้าถึงบัญชี Spotify

การโจมตีด้วยวิธี Credential Stuffing หมายถึงการโจมตีโดยใช้ชื่อผู้ใช้งานและรหัสผ่านทึเคยรั่วไหลจากเว็บไซต์หนึ่ง ไปทดลองเข้าสู่ระบบในอีกเว็บไซต์หนึ่ง ซึ่งการโจมตีชนิดนี้มักจะส่งผลกระทบกับผู้ใช้งานที่ใช้รหัสผ่านซ้ำกันในหลายๆ เว็บไซต์

ในการโจมตีในครั้งนี้แฮกเกอร์พยายามเข้าถึงบัญชี Spotify โดยใช้ฐานข้อมูล 380 ล้านรายการ ที่มี Credential ประกอบไปด้วยชื่อล็อกอิน (Email address) และ รหัสผ่านล็อกอินเข้าสู่บัญชี Spotify โดยการพยายามใช้ข้อมูลชุดนี้บัญชีผู้ใช้ Spotify อาจจะถูกละเมิดได้สำเร็จหรืออาจไม่ถูกละเมิดก็ได้

หลังจากออกรายงาน VPNMentor ติดต่อ Spotify ในวันที่ 9 กรกฎาคม 2020 เกี่ยวกับฐานข้อมูลที่เปิดเผยและภัยคุกคามที่อาจเกิดต่อบัญชีผู้ใช้ Spotify หลังจากได้รับข้อมูล Spotify ได้ทำการรีเซ็ตรหัสผ่านผู้ใช้ที่มีความเสี่ยงที่บัญชีถูกบุกรุกเนื่องจากอยู่ในฐานข้อมูลแล้วในช่วงเดือนกรกฎาคม 2020

ทั้งนี้ Spotify ยังไม่รองรับการตรวจสอบสิทธิ์แบบ Multi-factor authentication (MFA) ซึ่งจะช่วยเพิ่มความปลอดภัยให้กับบัญชีได้มากขึ้นถึงแม้ว่าผู้ใช้จะร้องขอมาแล้วระยะหนึ่งก็ตาม

ที่มา: bleepingcomputer.