نبّه تطبيق Spotify مستخدميه إلى أن بعض بيانات التسجيل الخاصة بهم قد تم الكشف عنها عن غير قصد لشريك أعمال تابع لجهة خارجية، بما في ذلك عناوين البريد الإلكتروني وأسماء العرض المفضلة وكلمات المرور والجنس وتواريخ الميلاد. وذلك بعض تعرض أكبر خدمة بث للموسيقى في العالم إلى عملية خرق ثالثة على الأقل في أقل من شهر واحد.

ويبدو أن حادث التسريب كان بسبب ثغرة في البرنامج كانت موجودة من 9 أبريل حتى 12 نوفمبر، حين تم تصحيحها، بحسب بيان صادر عن الشركة في 9 ديسمبر. وأضاف: “نحن نتعامل مع أي فقدان للمعلومات الشخصية على محمل الجد ونتخذ الخطوات المناسبة للمساعدة في حمايتكم وحماية معلوماتكم الشخصية. لقد أجرينا تحقيقاً داخلياً واتصلنا بجميع شركائنا التجاريين الذين ربما تمكنوا من الوصول إلى معلومات حسابكم للتأكد من حذف أي معلومات شخصية ربما تم الكشف عنها لهم من دون قصد”.

 

استهداف تطبيق Spotify

يأتي الإعلان المذكور أعلاه بعد أيام قليلة من استيلاء مهاجم ضار يُدعى “دانيال” على صفحات بعض النجوم الأكثر شهرة على التطبيق، حيث استخدم الصفحات المختطفة للفنانين Dua Lipa و Pop Smoke لإعلان حبه للرئيس الأميركي السابق دونالد ترامب والفنانة تايلور سويفت.

قبل أسبوع واحد من هذا الحادث، في أواخر نوفمبر، وقع Spotfiy ضحية سلسلة من عمليات الاستحواذ على الحسابات بعد عملية حشو بيانات الاعتماد. في هذا النوع من الهجمات، يراهن المهاجمون على الأشخاص الذين يعيدون استخدام كلمات المرور نفسها بحيث يحاولون استخدام البيانات المسروقة على منصات مختلفة للوصول إلى مجموعة من الحسابات.

من جهتها، قالت الشركة إن قاعدة البيانات المكشوفة تنتمي إلى طرف ثالث كان يستخدمها لتخزين بيانات اعتماد تسجيل الدخول إلى Spotify. فيما تم الحصول على أوراق الاعتماد هذه على الأرجح بشكل غير قانوني أو ربما تم تسريبها من مصادر أخرى غير معروفة بعد.

ومنذ اكتشاف عملية الخرق، بدأ Spotify حملة واسعة النطاق لكل مستخدميه تدفعهم لتغيير كلمات المرور الخاصة بهم واختيار password جديد كلياً، مما جعل قاعدة البيانات المسروقة عديمة الفائدة بالنسبة للمهاجمين.