Spotify

Cacat RCE Kritis Dilaporkan di Katalog Software Backstage dan Platform Developer Spotify

November 16, 2022 by Eevee

Backstage Spotify telah ditemukan rentan terhadap kelemahan keamanan parah yang dapat dieksploitasi untuk mendapatkan eksekusi kode jarak jauh dengan memanfaatkan bug yang baru-baru ini diungkapkan dalam modul pihak ketiga.

Kerentanan (skor CVSS: 9.8) memanfaatkan pelarian kotak pasir kritis di vm2, perpustakaan kotak pasir JavaScript populer (CVE-2022-36067 alias Sandbreak), yang terungkap bulan lalu.

“Aktor ancaman yang tidak diautentikasi dapat menjalankan perintah sistem sewenang-wenang pada aplikasi Backstage dengan mengeksploitasi vm2 sandbox escape di plugin inti Scaffolder,” kata perusahaan keamanan aplikasi Oxeye dalam sebuah laporan yang dibagikan kepada The Hacker News.

Backstage adalah developer portal open source dari Spotify yang memungkinkan pengguna membuat, mengelola, dan menjelajahi komponen perangkat lunak dari “pintu depan” terpadu. Ini digunakan oleh banyak perusahaan seperti Netflix, DoorDash, Roku, dan Expedia, antara lain.

Menurut Oxeye, cacat tersebut berakar pada alat yang disebut templat perangkat lunak yang dapat digunakan untuk membuat komponen di dalam Backstage.

Sementara mesin templat menggunakan vm2 untuk memitigasi risiko yang terkait dengan menjalankan kode yang tidak dipercaya, cacat pelarian kotak pasir pada yang terakhir memungkinkan untuk menjalankan perintah sistem yang sewenang-wenang di luar perimeter keamanan.

Oxeye mengatakan dapat mengidentifikasi lebih dari 500 contoh Backstage yang terbuka untuk umum di internet, yang kemudian dapat dipersenjatai dari jarak jauh oleh musuh tanpa memerlukan otorisasi apa pun.

Setelah pengungkapan yang bertanggung jawab pada 18 Agustus, masalah tersebut telah diatasi oleh pengelola proyek dalam versi 1.5.1 yang dirilis pada 29 Agustus 2022.

“Akar dari setiap pelarian VM berbasis template adalah mendapatkan hak eksekusi JavaScript di dalam template,” catat perusahaan Israel itu. “Dengan menggunakan mesin template ‘tanpa logika’ seperti Mustache, Anda dapat menghindari pengenalan kerentanan injeksi template sisi server.”

Sumber: The Hackernews

Spotify Mengubah Kata Sandi Setelah Pelanggaran Data Lain

December 18, 2020 by Winnie the Pooh

Spotify telah memberi tahu pengguna bahwa beberapa data pendaftaran mereka secara tidak sengaja terekspos ke mitra bisnis pihak ketiga, termasuk alamat email, nama tampilan yang disukai, kata sandi, jenis kelamin, dan tanggal lahir.

Ini setidaknya adalah pelanggaran ketiga dalam waktu kurang dari sebulan untuk layanan streaming terbesar di dunia tersebut.

Sebuah pernyataan dari Spotify tentang insiden tersebut mengatakan bahwa eksposur tersebut disebabkan oleh kerentanan perangkat lunak yang ada dari 9 April hingga 12 November ketika diperbaiki.

Pernyataan itu datang hanya beberapa hari setelah beberapa halaman bintang paling populer layanan streaming diambil alih oleh aktor jahat bernama “Daniel” yang menggunakan halaman artis Spotify yang dibajak, termasuk Dua Lipa dan Pop Smoke, untuk menyatakan cintanya pada Trump dan Taylor Swift.

Insiden tersebut terjadi selama pengumuman akhir tahun Spotify Wrapped 2020 yang dipublikasikan secara luas tentang streaming terpopuler tahun ini.

Hanya seminggu sebelum insiden itu, pada akhir November, Spotfiy menerima banyak pengambilalihan akun setelah operasi credential-stuffing. Dalam jenis serangan ini, pelaku ancaman bertaruh pada orang yang menggunakan kembali kata sandi mereka; mereka mencoba mencuri sandi dan ID pada layanan yang berbeda untuk mendapatkan akses ke berbagai akun.

Sumber: The Threat Post

Lebih dari 300 ribu akun Spotify diretas dalam serangan credential stuffing

November 24, 2020 by Winnie the Pooh

Peretas telah mencoba untuk mendapatkan akses ke akun Spotify menggunakan database 380 juta data dengan kredensial login dan informasi pribadi yang dikumpulkan dari berbagai sumber.

Sebuah laporan baru yang merinci bagaimana database yang berisi lebih dari 380 juta data, termasuk kredensial login, secara aktif digunakan untuk meretas akun Spotify dapat menjelaskan pelanggaran akun ini.

Serangan umum yang digunakan untuk meretas akun disebut serangan credential stuffing, yaitu ketika pelaku ancaman menggunakan kumpulan besar kombinasi nama pengguna / sandi yang bocor dalam pelanggaran keamanan sebelumnya untuk mendapatkan akses ke akun pengguna di platform online lainnya.

Hari ini, VPNMentor merilis laporan tentang database yang terekspos di Internet yang berisi 300 juta data kombinasi nama pengguna dan kata sandi yang digunakan dalam serangan isian kredensial terhadap Spotify.

Setiap data dalam database ini berisi nama login (alamat email), kata sandi, dan apakah kredensial berhasil masuk ke akun Spotify, seperti yang ditunjukkan di bawah ini.

Tidak diketahui bagaimana 300 juta data ini dikumpulkan, tetapi kemungkinan melalui pelanggaran data atau “koleksi” kredensial yang besar yang biasanya dirilis oleh pelaku ancaman secara gratis.

Para peneliti percaya bahwa 300 juta data yang terdaftar dalam database memungkinkan penyerang menembus 300.000 hingga 350.000 akun Spotify.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Spotify

Cookies Settings