Spotifyのログイン情報数百人分がネットに流れる―Spotifyではハックされていないと主張

2016-04-26-spotify-red

Spotifyのログイン情報数百人分がPastebinというサイトに貼らられ、このサービスのセキュリティーが破られのではないかと疑われている。漏洩した情報にはメールアドレス、ユーザー名、パスワード、アカウントの種類、その他の詳細が含まれている。

TechCrunchではランダムに抽出したアドレスにメールを送って調査した結果、これらのユーザーのSpotifyアカウントは実際に数日前にハックされていることを確認した。ただしSpotify側では「われわれはハックされていない。ユーザーデータは安全に保管されている」としている。

それではこのデータはどこから得られたものかという疑問が出る。データは間違いないくSpotifyへのログインに特有の情報であり、たまたまSpotifyにも関連する一般的なウェブ・データではない。

漏洩したアカウント情報はアメリカ国内のものに限られず、世界中いたるところのユーザーが含まれている。

spotify-pastebin

われわれのメールでの問い合わせに対して5、6通の返信があり「最近アカウント情報がリークした」と確認してきた。乗っ取りに気づいたきっかけはいろいろあったようだ。あるユーザーは「自分で追加した覚えのない曲がプレイリストに追加されていた」と回答した。別のユーザーは身元不明の第三者が自分のアカウントを使っていることに気づいた。

匿名を望むあるユーザーは「アカウントは先週ハックされたのだと思う。『最近再生された曲』に自分で聞いた覚えのない曲が追加されていたのに気づいてパスワードを変えて全部のデバイスで〔Spotifyから〕ログアウトした」と語った。

spotify-overview

別の複数のユーザーは曲を聞いている最中にSpotifyが使えなくなり、再度ログインしてみると、メールが自分のものではない不正なアドレスに書き換えられていることを発見したという。

Spotifyをまた使えるようにするためにはカスタマーサービスに連絡して手続きしなければならなかったそうだ。

いずれの場合もユーザーに対してSpotifyからすぐに通知はなく、Spotify側で積極的にパスワードを変更するなどのセキュリティー保護の措置は取られなかったという。

「Spotifyはハックされていないという」という広報担当者の言葉はこれと矛盾する。

Spotifyはハックされておらず、ユーザーデータは安全だ。われわれはPastebinその他のサイトを定期的にチェックしている。もしSpotifyのログイン情報をそのようなサイトで発見した場合、われわれはただちにその真偽を確認し、正しいログイン情報だと分かった場合は対象ユーザーに直ちに通知し、パスワードを変更することになっている。

Spotifyは依然としてアカウントの真偽を確認しているのかもしれない。これは時間がかかる場合がある。

われわれの取材によると、この問題が発生したのは先週のようだ。ただしPastebinの日付は4月23日になっている)(TechCrunchは被害者のプライバシーを守るためにこのサイトへのURLは掲載しない)。【略】

spotify-email-reset

原因がどこにあるにせよ、漏洩したパスワードを使って身元不明の第三者がなぜ実際にSpotifyにログインしてストリーミング・サービスを利用したのかは不明だ。そんなことをすれば本来のユーザーが漏洩に気づくに決まっている。ハッカーはログインデータを本来のユーザーに気づかれないように入手し、よそで売りさばくのが普通だ。それだけに今回の成り行きは理解しがたい。

この件に関してさらに情報が入手でき次第アップデートする。

[原文へ]

(翻訳:滑川海彦@Facebook Google+