Spotifyのパスワードを35万件もデータベース化したハッカーたちは、それをパスワードなしでクラウドサーバーに保存しました。この侵害は、アカウントのパスワードを選択する際に適用すべき重要な原則を改めて認識させてくれます。

複数のアカウントに同じパスワードを使用しないでください。

CNET は、パスワードはクレデンシャルスタッフィングによって特定されたと報じています。

ハッカー集団が音楽ストリーミングサービスのSpotifyの35万ものアカウントにアクセスするために、システムに侵入する必要はなかった。必要なのは、他のデータ侵害で盗まれたログイン認証情報のキャッシュと、少しの忍耐力だけだった。

ハッカーが成功したのは、Spotifyアカウント所有者が他のアカウントのパスワードを使い回していたためです。これは基本的なセキュリティ上のミスです。ハッカーはSpotifyでパスワードの組み合わせを試し、一致するものを探すだけで済みました。これは「クレデンシャル・スタッフィング」と呼ばれる手法です。

この手法のシンプルさは天才的な才能を必要としません。ハッカーたちは自らのセキュリティ上の失策によってそれを証明しました。犯罪の首謀者ではないこのグループは、記録を安全でないクラウドデータベースに保存することで、自らの活動を暴露しました。つまり、ウェブブラウザさえあれば誰でもパスワードなしでデータを閲覧できたのです。

セキュリティ研究者のラン・ロカー氏とノアム・ロテム氏は、インターネット上の安全でないデータをスキャンするプロジェクトの一環として、この流出した記録を発見した。研究者たちは、発見した安全でないデータの削除またはロックダウンを求めており、月曜日にセキュリティウェブサイトvpnMentorで調査結果を発表した。

複数のウェブサイトやアプリで同じパスワードを使い回すことは、最もリスクの高い行為の一つです。なぜなら、ログイン情報の安全性は、あなたが利用しているサービスの中で最も安全性が低い、あるいは最も不注意なサービスと同程度になってしまうからです。もしそのサービスがハッキングされれば、攻撃者は盗んだ認証情報を他のプラットフォームで試すでしょう。一度ハッキングされれば、同じパスワードであなたが利用しているすべてのサービスにアクセスできてしまうのです。

パスワードマネージャーは、あらゆるプラットフォームでユニークで強力なパスワードを使用できるため、プライバシーを保護する最も簡単な方法です。Safariにはパスワードマネージャーが組み込まれており、サイトごとにユニークなパスワードを自動的に提案しますが、1PasswordやLastPassなどの商用パスワードマネージャーは、より柔軟性が高く、複数のブラウザで使用できます。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。