串流音樂服務大廠 Spotify 日前通知部分用戶，其原本使用的密碼被重置，應重新設定新密碼；原因是該公司再度發生資料外洩事件。

串流音樂服務大廠 Spotify 日前發送通知給部分用戶，告知其原本使用的密碼被重置，應重新設定新密碼；原因是該公司再度發生資料外洩事件。

Spotify 在寄給受影響用戶的 Email 中指出，該公司儲存的部分用戶資料，被外洩給該公司的某個合作伙伴；遭到外洩的資料欄位，包括登入用的 Email、密碼、用戶設定的顯示名稱、性別、出生日期等個人資訊。

Spotify 指出，在 11 月 12 日時，該公司發現其系統中的某個漏洞，造成部分用戶的帳號註冊資訊曝露給該公司的某個第三方合件伙伴；該公司推測整個漏洞的影響時間，自今年 4 月 9 日起，到發現問題的 11 月 12 日止，長達七個月以上。

Spotify 說，該公司已經修正這個系統錯誤，而且這些洩露給第三方合作伙伴的資料也沒有外流；然而 Spotify 除了要求被重置密碼的用戶更換密碼外，也建議用戶如果將同樣的登入資訊（登入用的 Email 與密碼）使用在其他網路服務時，也應一併更新密碼，以降低登入資訊外洩可能造成的資安風險。

事實上，Spotfy 近來屢次遭到駭侵攻擊；就在 Spotify 對外發布這波資料外洩事件的數日前，才發生過一個名為「Daniel」的駭侵者竊走 Spotify 站內最熱門歌手專頁的事件。數月前也發生過駭侵者利用在別處取得的其他服務用戶登入資訊，用以登入並竊取用戶帳號控制權的事件。

• 參考連結

https://oag.ca.gov/system/files/Copy%20of%20Spotify%20Breach%20Notice%20Letter%20%28CALIFORNIA%29.DOCX_.pdf

https://threatpost.com/spotify-changes-passwords-data-breach/162256/

https://portswigger.net/daily-swig/spotify-security-vulnerability-exposed-personal-data-to-business-partners