Spotifyによると、同社のシステムのソフトウェア脆弱性がビジネスパートナーにプライベートアカウント情報を公開したとして、ユーザーパスワードをリセットしたという。
Spotifyはカリフォルニア州司法長官事務所に提出したデータ漏えいに関する通知の中で、「特定のビジネスパートナーのメールアドレス、好みの表示名、パスワード、性別、生年月日が含まれているかもしれません」と述べている。同社はビジネスパートナーの名前を挙げておらず、「この情報を一般公開していない」と付け加えている。
Spotifyによるとこの脆弱性は4月9日までは存在していたが、11月12日まで発見されていなかった。しかし他の多くのデータ漏洩と同様に、Spotifyは脆弱性が何であったのか、ユーザーアカウントのデータがどのようにして流出したのかについては述べていない。
「我々は内部調査を行い、お客様のアカウント情報にアクセスできた可能性のあるすべてのビジネスパートナーに連絡を取り、誤って開示された可能性のある個人情報が削除されたことを確認しました」と、Spotifyは述べている。
Spotifyの広報担当者であるAdam Grossberg(アダム・グロスバーグ)氏は、Spotifyユーザーの「ごく一部の人数」が影響を受けていることを確認したが、具体的な数字は示さなかった。Spotifyのユーザー数は3億2000万人以上で、加入者数は1億4400万人となっている。
同社がユーザーのパスワードをリセットするのは、この数カ月で2度目だ。
2020年11月にセキュリティ研究者は、ハッカーによって運営されていると思われる安全ではないデータベースを発見し、約30万件のユーザーパスワードが盗まれていることを発見した。このデータベースはおそらく、盗まれたパスワードのリストを同じパスワードを使用している別のウェブサイトと照合する、クレデンシャルスタッフィング攻撃のために使用されたと考えられる。
今回流出したデータはSpotify経由のものではなかったが、同社は影響を受けたユーザーアカウントのパスワードをリセットした。
関連記事:データ漏洩通知は行間を読め、本当の意味を解読する方法
カテゴリー:ネットサービス
タグ:Spotify、データ漏洩
画像クレジット:Martin Bureau / Getty Images
[原文へ]
(翻訳:塚本直樹 / Twitter)