Користувачі популярного стріммінгового сервісу Spotify стали жертвами кіберзлочинців, які запустили атаки типу “credential stuffing”, що дозволило отримати контроль над деякими екаунтами.

Це ще одне яскраве нагадування про те, що не можна використовувати однакові паролі для різних онлайн-сервісів.

Атаки “credential stuffing” розраховані на людей, які не хочуть запам’ятовувати безліч паролів або користуватися відповідними менеджерами, пише Bleeping Computer.

Як правило, це призводить до того, що на декількох сайтах вводяться одні і ті ж паролі. В цьому випадку кіберзлочинці, використовуючи витік у одній з компаній, можуть “викрасти” й інші облікові записи користувача. Для цього задіюються спеціальні скрипти, що автоматизують цей процес.

Нещодавно команда дослідників з vpnMentor виявила базу даних Elasticsearch, що містить понад 380 мільйонів записів користувачів: облікові дані та інша інформація про екаунти у сервісі Spotify.

Ця база займала 72 Гб, в ній можна було знайти імена користувачів, їхні паролі (підтверджені), адреси електронної пошти та країни проживання.

“Злити база даних належить третім особам, які використовували її для зберігання логінів і паролів користувачів Spotify. Ці облікові дані, очевидно, були отримані нелегальним шляхом. Імовірно, це витік з іншого онлайн-сервісу”, – пояснюють в vpnMentor.

Експерти не втомлюються попереджати: підходите відповідально до пральний захисту своїх облікових записів, завжди приділяйте увагу складності паролів і їх оригінальності. Ні у жодному разі не варто використовувати один пароль для всіх екаунтів.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути новий зчитувач PDF від Google Chrome? – ІНСТРУКЦІЯ

Як надавати дозволи, зокрема, тимчасові для програм на Android? – ІНСТРУКЦІЯ

Нова macOS Big Sur: 10 порад щодо налаштування та використання ОС

Як заборонити друзям із Facebook надсилати Вам повідомлення в Instagram? – ІНСТРУКЦІЯ

Як захисти свої пристрої під час віддаленої роботи з дому? ПОРАДИ

До речі, кібершахраям в черговий раз вдалося обійти захист офіційного магазину додатків для Android – Google Play Store, у результаті чого понад мільйон користувачів постраждали від фейковий модів для популярної гри Minecraft.

Зверніть увагу, що оператори відеосервісу TikTok усунули дві уразливості, які в комбінації дозволяють без особливих зусиль отримати контроль над чужим екаунтом. Одна з уразливостей була присутня на сайті, інша з’явилася в клієнтському додатку.

Також дослідники з кібербезпеки повідомили про зростання кількості кібератак, що використовують сервіси Google в якості зброї для обходу засобів захисту і крадіжки облікових даних, даних кредитних карт та іншої особистої інформації.

У мобільній версії додатка Facebook Messenger усунули уразливість, за допомогою якої можна було прослуховувати оточення абонента. За свідченням експерта, який знайшов баг, таємне підключення до цільового Android-пристрою у даному випадку виконується за кілька секунд.

П’ятеро фігурантів видавали себе за IT-спеціалістів фінансової установи. Під виглядом “тестування платіжної системи” вони здійснили незаконні перекази грошей на підконтрольні рахунки. У результаті таких дій вони незаконно привласнили 1,4 мільйона гривень банківської установи.