Spotifyが一部のアカウントに対し「不審な活動」を理由にパスワードをリセット

音楽配信大手のSpotifyが一部のユーザーに対し、アカウトのパスワードをリセットしたと通知した。対象となったユーザーの数は不明だが、自分が対象となった理由がわからないユーザーがたくさんいるようだ。

ユーザーは「不審な活動が検出されたため」パスワードをリセットしたというメールをSpotifyから受け取ったが、詳しい説明はなかった。

Spotify広報のPeter Collins氏は次のように述べている。「我々のサービスに対する不正な行動を阻止するために日頃からメンテナンスをしている。その一環で最近、予防措置としてパスワードをリセットしたことを一部のユーザーに伝えた。我々はベストプラクティスとして、自分を保護するために複数のサービスで同じ認証情報を使わないことをユーザーに対して強く推奨している」。

つまりSpotifyは、どこかのサイトから漏洩したユーザー名とパスワードを使ったリスト型攻撃があると言っていることになる。

TechCrunchはパスワードリセットのメールを受信した人々に問い合わせをした。複数のウェブサイトで同じパスワードを使っていたという人もいれば、Spotifyだけのパスワードを使っていたという人もいた。Hacker Newsのスレッドには、自分のパスワードはSpotifyだけに使っているものでありリスト型攻撃には疑問があると書き込んだ人が2人いる。

パスワードに脆弱性がある、または容易に推測できると考えられる場合に企業がユーザーのパスワードをリセットすることはめずらしくない。通常、企業はパスワードを平文では保存せず、ハッシュ化している。脆弱なパスワードや流出したパスワードのリストを同じアルゴリズムでスクランブルすれば、企業は自社が保有するデータベース中の脆弱なパスワードを見つけ、予防策としてパスワードリセットのメールを送信する。

NetflixもFacebookSpotifyも、他社のデータ漏洩があった場合にそのデータを入手し、流出したパスワードを自社のデータベースと照合して、事前の対策としてアカウントのパスワードをリセットしたことがある。TechCrunchはSpotifyに対してさらに問い合わせをしたが、返答はなかった。

ChipotleDoorDashOkCupidの顧客はいずれもここ数カ月でアカウントのハッキングがあったと報告している。3社ともデータ漏洩を否定している。

画像: Spencer Platt / Getty Images

[原文へ]

(翻訳:Kaori Koyama)

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。