音楽配信大手のSpotifyが一部のユーザーに対し、アカウトのパスワードをリセットしたと通知した。対象となったユーザーの数は不明だが、自分が対象となった理由がわからないユーザーがたくさんいるようだ。
ユーザーは「不審な活動が検出されたため」パスワードをリセットしたというメールをSpotifyから受け取ったが、詳しい説明はなかった。
Anyone else getting emails from Spotify about suspicious activity? No compromise, at least not on my account, just seems to be getting hammered
— Chris Barsby (@Barsbeh) 2019年5月16日
Suspicious activity detected on my Spotify account.
— NK (@NonoGerrard) 2019年5月21日
Spotify just reset my password due to ‘suspicious activity’. Did someone hack in to listen to Justin Bieber or something?
— P13 (@apaulothirteen) 2019年5月16日
Spotify広報のPeter Collins氏は次のように述べている。「我々のサービスに対する不正な行動を阻止するために日頃からメンテナンスをしている。その一環で最近、予防措置としてパスワードをリセットしたことを一部のユーザーに伝えた。我々はベストプラクティスとして、自分を保護するために複数のサービスで同じ認証情報を使わないことをユーザーに対して強く推奨している」。
つまりSpotifyは、どこかのサイトから漏洩したユーザー名とパスワードを使ったリスト型攻撃があると言っていることになる。
TechCrunchはパスワードリセットのメールを受信した人々に問い合わせをした。複数のウェブサイトで同じパスワードを使っていたという人もいれば、Spotifyだけのパスワードを使っていたという人もいた。Hacker Newsのスレッドには、自分のパスワードはSpotifyだけに使っているものでありリスト型攻撃には疑問があると書き込んだ人が2人いる。
パスワードに脆弱性がある、または容易に推測できると考えられる場合に企業がユーザーのパスワードをリセットすることはめずらしくない。通常、企業はパスワードを平文では保存せず、ハッシュ化している。脆弱なパスワードや流出したパスワードのリストを同じアルゴリズムでスクランブルすれば、企業は自社が保有するデータベース中の脆弱なパスワードを見つけ、予防策としてパスワードリセットのメールを送信する。
NetflixもFacebookもSpotifyも、他社のデータ漏洩があった場合にそのデータを入手し、流出したパスワードを自社のデータベースと照合して、事前の対策としてアカウントのパスワードをリセットしたことがある。TechCrunchはSpotifyに対してさらに問い合わせをしたが、返答はなかった。
Chipotle、DoorDash、OkCupidの顧客はいずれもここ数カ月でアカウントのハッキングがあったと報告している。3社ともデータ漏洩を否定している。
画像: Spencer Platt / Getty Images
[原文へ]
(翻訳:Kaori Koyama)