Spotify遭填充攻击，逾30万名用户受害

专门评测全球VPN服务的vpnMentor本周指出，该公司在一个公开的Elasticsearch数据库中发现了3.8亿笔纪录，包括电子邮件账号与登入凭证等，涉及全球串流音乐龙头Spotify的30~35万名用户。在与Spotify接洽之后，vpnMentor认为这很可能是骇客透过填充攻击所获取的Spotify用户资讯。

vpnMentor的调查显示，此一曝光的数据库属于不明的第三方，并非源自于Spotify，却用来存放Spotify的登入凭证，很可能是非法取得，或者是透过凭证填充攻击所获得。

所谓的填充攻击是骇客利用A网站所外泄的用户凭证来试图登入B网站，这类的攻击之所以有效，全都仰赖使用者习惯于不同服务采用同样密码。

在收到vpnMentor的通知后，Spotify已要求受影响的用户重设密码，以让该Elasticsearch数据库上所存放的凭证失效。