Layanan streaming musik Spotify melakukan reset password untuk lebih dari 350 ribu akun demi mengurangi risiko data pengguna dibobol.

Aksi setel ulang kata sandi ratusan ribu pengguna Spotify ini menyusul laporan Peneliti Keamanan Siber Noam Rotem dan Ran Locar yang telah menemukan data sebesar 72 GB yang tidak terenkripsi secara online, yang berarti rentan disalahgunakan oleh pihak-pihak yang tidak bertanggungjawab.

"Data tersebut berisi lebih dari 380 juta kredensial login dan data pengguna lain yang divalidasi terhadap layanan Spotify," ujar tim peneliti seperti dikutip oleh dari ZDnet.

Rotem dan Locar menduga data yang bocor berpotensi digunakan untuk membajak akun Spotify yang menggunakan kata sandi yang sama dengan layanan lain. 

Serangan itu disebut sebagai 'penjejalan kredensial'.

"Kredensial ini kemungkinan besar diperoleh secara ilegal atau berpotensi bocor dari sumber lain yang digunakan kembali untuk serangan penjejalan kredensial terhadap Spotify," tulis peneliti Rotem dan Locar.

Atas laporan ini, Spotify menyatakan bahwa mereka sudah memulai penyetelan ulang sandi ke lebih dari 350.000 akun dalam rangka untuk mengurangi risiko akun disusupi atau dibajak oleh pihak lain seperti penjahat siber.

Mengutip Phone Arena, usai aksi reset password itu, Spotify mengklaim masalahnya sudah teratasi dan sejauh ini belum ada laporan lebih lanjut dari pengguna yang merasa akunnya dibobol.

Beberapa ahli menyarankan, terkait kasus ini, pengguna diminta untuk tidak menggunakan kata sandi yang sama dengan layanan yang berbeda. 

Pengguna Spotify aktif saat ini diketahui mencapai 286 juta di seluruh dunia dengan 130 juta di antaranya merupakan pengguna Spotify Premium atau berbayar.

Learn more »

Mungkin Anda pernah mengalaminya, yaitu saat ada lagu yang tak pernah didengarkan tiba-tiba muncul di catatan akun Spotify Anda. 

Atau malah, Spotify Anda sedang dipakai di perangkat lain yang tak dikenal saat mau mendengarkan lagu.

Bukan, ini kemungkinan besar bukan karena ada hacker yang menjebol server Spotify untuk mencuri akun dan password penggunanya. 

Meskipun saat ini ada hacker yang memegang sekitar 350 ribu akun Spotify yang bukan milik mereka.

Hacker tersebut hanya mengakses database password dan akun yang pernah dicuri dari layanan lain. 

Hal ini diutarakan oleh peneliti keamanan bernama Ran Locar dan Noam Rotem, yang dipublikasikan di situs vpnMentor.

Menurut Locar dan Rotem, hacker tersebut hanya mencoba-coba password tersebut di layanan Spotify, atau bahasa kerennya adalah credential stuffing. 

Pasalnya, banyak pengguna yang memakai password yang sama untuk berbagai layanan.

Alhasil, saat salah satu akun tersebut dijebol hacker, maka passwordnya akan tersebar di dunia maya. 

Dari situ, tinggal ditunggu saja kapan akun yang lainnya bakal diakses oleh orang tak dikenal.

"Pelajarannya untuk pengguna adalah, jangan menggunakan password Anda berulang kali. Karena pada suatu saat, salah satu di antaranya akan bocor," ujar Locar.

Memang, password Spotify yang bocor itu tak diketahui bakal dipakai untuk apa. 

Namun ada sejumlah kemungkinan, salah satunya adalah password tersebut akan 'disewakan' ke pengguna lain dengan harga yang jauh lebih murah ketimbang harga normal.

Namun hal itu tak akan berlangsung lama, karena Spotify bakal meminta pengguna untuk me-reset passwordnya jika ketahuan sudah dipakai orang tak dikenal, demikian dikutip dari Cnet.

Learn more »