Cyberthreat.id – VPNMentor, perusahaan perangkat lunak dan network security asal Amerika Serikat, melaporkan ada upaya peretas mengakses akun pengguna Spotify menggunakan basis data 380 juta catatan kredensial login dan informasi pribadi yang dikumpulkan dari berbagai sumber.

Spotify adalah layanan streaming musik digital, podcast, dan video asal Swedia yang dirilis pada Oktober 2008 oleh Daniel Ek dan Martin Lorentzon.

Menurut VPNMentor, basis data yang terekspose di internet tersebut merupakan kombinasi nama pengguna (username) dan kata sandi (password). Basis data ini dipakai untuk serangan isian kredensial atau sering disebut “credential stuffing attacks”.

“Tidak diketahui bagaimana 300 juta catatan itu dikumpulkan, tapi ini tampaknya lantaran pelanggaran data atau koleksi kredensial besar yang biasanya dirilis oleh peretas secara gratis,” tulis Bleeping Computer, diakses Selasa (24 November 2020).

Peneliti VPNMentor meyakini bahwa dengan jumlah catatan itu, peretas bisa menembus 300.000 hingga 350.000 akun Spotify.

VPNMentor mengaku telah menghubungi Spotify pada 9 Juli 2020 terkait basis data penggunanya yang terekspose dan ancaman yang mungkin terjadi. Spotify pun merespons laporan itu segera di hari yang sama.

“Sebagai tanggapan atas pernyataan kami, Spotify memulai “rolling reset” kata sandi untuk semua pengguna yang terkena dampak. Dengan begitu, informasi di basis data tersebut bisa tidak berguna lagi,” kata peneliti.

Sejauh ini Spotify memang tidak menerapkan otentikasi multi-faktor (MFA) yang bisa meningkatkan keamanan akun. Padahal, para pengguna telah meminta kepada perusahaan beberapa kali.[]