vpnMentorの調査チームが、SpotifyのID/PWを含む72GBのElasticsearchデータベースがインターネット上に公開されているのを発見した。本インシデントはSpotify自身が漏洩したのではなく、第三者が収集していた情報を公開したと見られている。

■インシデントの概要

　vpnMentorの報告によれば、今回発見されたインシデントの概要は以下の通り。

　・対象企業:Spotify

　・発見日:2020年7月3日（7月9日レビュー）

　・Spotifyへの連絡日:2020年7月9日

　・Spotifyからの回答日:2020年7月9日

　・対応:7月10日から7月21日の間にローリングリセット実施

　・業界:音楽ストリーミングとメディア

　・発見されたデータ量:72 GB、3億8000万件以上のレコード

　・ID/PWの漏洩が疑われるユーザ数:300,000～350,000

　・公開されたデータの種類:メールアドレス、個人情報、居住国情報、ログイン資格情報（ID/Password）

　・データストレージ形式:オープンで暗号化されていないElasticsearchサーバー。公開されたMySQLサーバー

■Spotifyの対応

　vpnMentorがデータベースを発見し、Spotifyに報告したとろ翌日には影響を受けるすべてのユーザーのパスワードについて「ローリングパスワードリセット」を開始した。この対応速度は素晴らしい。これにより影響を受けると推測されたユーザのパスワードは順次リセットされたため、Spotifyプラットフォームにおいては、漏洩したID/Passwordは意味を成さなくなった可能性が高い。

　しかし、Spotifyのパスワードを他サービスでも使いまわしていたとすれば、他のサービスに不正にログインされる可能性がある。もし、Spotifyからパスワードリセットに関する案内が届いた場合は早急に対応し、パスワードを他でも使いまわしていた場合には、そちらもパスワードを変更することを推奨する。