Хакер #305. Многошаговые SQL-инъекции
Популярный музыкальный онлайн-сервис Spotify предупредил о дыре в
безопасности, которая привела к компрометации паролей пользователей и другой
чувствительной информации.
В опубликованном вчера
уведомлении Spotify поясняет, что баг во внутренних протоколах сервиса,
обнаруженный и устраненный в декабре прошлого года, оказался более серьезным,
чем изначально предполагалось. На прошлой неделе специалистам сервиса удалось
установить, что этой (теперь уже закрытой) уязвимостью воспользовалась группа
хакеров, скомпрометировавшая протоколы сервиса.
Это в свою очередь означает, что хэши паролей пользователей были украдены,
хотя и в трудном для дешифровки виде. Однако, если пользователь Spotify имел
слабый пароль, его возможно дешифровать брутфорс-атакой. Кроме того,
представители ресурса подчеркивают, что за исключением данных кредитных карт
украденной оказалась и другая информация о пользователях, в частности,
регистрационные данные, адреса электронной почты, данные о поле и возрасте,
почтовые коды и детали счетов оплаты.
К сожалению, широко распространенная среди интерент-серферов привычка
использовать для многочисленных сайтов одно и то же сочетание имени пользователя
и пароля может означать, что последствия данной утечки выйдут за границу
собственно Spotify. Поэтому его специалисты советуют клиентам сменить свои
пароли на сайте, а также поменять пароли и на тех ресурсах, где для авторизации
использовалась аналогичная комбинация символов.