Spotifyは、氏名、パスワード、生年月日などの顧客情報を一部のビジネスパートナーに誤って公開したため、一部のユーザーのパスワードをリセットする必要がありました。この脆弱性は4月から存在していましたが、11月になってから発見されました。

スポティファイ、情報漏えいの届出書を提出

このニュースは、スポティファイがカリフォルニア州司法長官事務所に提出したデータ侵害の通知書によるものだ（ファイル提供：TechCrunch）。

2020年11月12日、Spotifyのシステムに脆弱性が発見され、一部の顧客情報が不用意に第三者に公開される事態が発生しました。

この影響を受けた場合、Spotifyからパスワードのリセットを通知するメールが届くはずです。

共有される情報には、お客様の電子メールアドレス、希望する表示名、パスワード、性別、生年月日が含まれることがあります。

Spotifyは、この脆弱性は2020年4月9日から存在していたと推定していますが、発見されたのは2020年11月12日であり、Spotifyは「直ちに修正する措置を講じました」と述べています。

Spotifyは、データを受け取ったビジネスパートナーの名前を明らかにしていませんが、顧客情報を確実に削除するために連絡を取ったと述べています。

もちろん、不正利用が起こらないという保証はありませんので、Spotifyのパスワードを他で使ってしまった場合は、すぐに変更するようにしてください。

spotifyの反応はいかがでしたか？

Engadgetのインタビューで、同社の広報担当者は次のように語っている。

Spotifyのユーザーのごく一部で、ソフトウェアの不具合の影響を受けていましたが、現在では修正され、対処されています。ユーザーのプライバシーを保護し、信頼を維持することは、スポティファイの最優先事項です。この問題に対処するため、影響を受けるユーザーに対してパスワードのリセットを実施しました。私たちは、これらの義務***を極めて真剣に受け止めています。

Spotifyの加入者数は3億2千万人を超えており、そのうちの何割が影響を受けたかは不明です。

また、このようなケースではよくあることですが、ストリーミング配信会社は、情報漏洩がどのように発生したかについて詳しく説明しませんでした。しかし、暗号化されていないと思われる状態で、顧客情報が自由に拡散できたことは憂慮されます。

Spotifyがユーザーのパスワードに関する問題を経験したのは、ここ数カ月で今回が初めてではありません。2020年11月、Spotifyはデータ漏洩により35万件のパスワードをリセットする必要がありました。しかし、これはSpotify自体のエラーではなく、クレデンシャルの水増し操作によるものでした。

むしろこの話は、各サービスに固有のパスワードを使わせることの教訓になるのではないでしょうか。そうすれば、もし誰かがパスワードを入手したとしても、1つのサービスだけが危険にさらされることになります。これを実現するための方法として、優れたオープンソースのパスワードマネージャーを使用することが挙げられます。