Timlo.net–Para peneliti keamanan menemukan sebuah database tidak terenkripsi sebesar 72GB di internet. Database itu mengandung lebih dari 380 juta password online. Peneliti Noam Rotem dan Ran Locar menemukan database itu selama melakukan proyek web mapping. Setelah menyelidiki lebih jauh, keduanya menemukan jika di dalam database terdapat informasi kredensial dan data pengguna layanan Spotify lainnya.
Asal catatan password itu tidak diketahui tapi Roten dan Locar beranggapan jika database itu disusun dari beberapa sumber berbeda, termasuk dari berkas data yang dicuri. Data yang bocor itu bisa digunakan untuk membajak akun Spotify yang menggunakan password yang sama dengan layanan lain. Serangan seperti ini disebut credential stuffing.
“Kredensial ini kemungkinan besar diperoleh secara ilegal atau mungkin bocor dari sumber-sumber lain yang digunakan untuk serangan credential stuffing terhadap Spotify,” ujar Roten dan Locar dilansir dari Phone Arena, Rabu (25/11).
Masalah ini ditemukan keduanya pada musim panas tahun ini dan segera dilaporkan pada Spotify. Layanan streaming musik itu lalu melakukan reset password pada lebih dari 350 ribu akun untuk mengurangi risiko akun dibobol. Sepertinya masalah ini terselesaikan sekarang ini tanpa komplikasi. Tapi kasus ini mengingatkan kita sekali lagi untuk tidak menggunakan password yang sama untuk berbagai layanan berbeda di internet.
