Francúzska hudobná streamovacia služba Deezer, ktorá sa úspešne etablovala aj na slovenskom trhu, verejne priznala, že ešte v roku 2019 došlo k masívnemu úniku údajov o jej používateľoch. V závere uplynulého roka ich hacker ponúkol na predaj.
Únik sa má týkať viac ako 240 miliónov používateľov služby. Dátový balík, ktorý hacker ponúkol na predaj 6. novembra 2022 na diskusnom fóre, mal byť získaný prostredníctvom 3. strany, nie priamo zo služby Deezer.
Dátový balík s celkovým objemom 60 GB obsahuje dáta z pred septembra-októbra 2019. Obsahovať má 257 829 454 záznamov, z čoho zhruba 228 miliónov tvoria neanonymizované e-mailové adresy používateľov. V dátach sa majú nachádzať aj záznamy o prihláseniach používateľov vrátane ich IP adries a informácií o použitých zariadeniach.
Dátový balík ďalej obsahuje:
- Mená a priezviská,
- dátumy narodenia,
- e-mailové adresy,
- pohlavia,
- lokalizačné dáta (mesto a krajinu),
- dátum registrácie
- používateľské meno
Deezer vo verejnom vyhlásení uviedol, že k úniku hesiel alebo platobných údajov nedošlo. Dáta mali uniknúť 3. strane, ktorú mal Deezer požiadať o hĺbkovú analýzu jeho používateľskej základne. Hudobná spoločnosť uviedla, že s týmto partnerom od roku 2020 nespolupracuje a jej systémy zostávajú naďalej neprelomené.
Cena dátového balíka nie je známa a nateraz tiež nie je potvrdené, že by ho už aj niekto odkúpil. Hacker totiž so záujemcami komunikuje iba prostredníctvom súkromných správ. Skupina RestorePrivacy zameraná na ochranu súkromia však získala prístup k menšej dátovej vzorke, ktorá obsahuje údaje 5 miliónov používateľov a po analýze potvrdila pravosť tohto úniku, ako aj jej vyššie popisovaný obsah.
Dátový balík zároveň poslúžil službám zameraným na upozorňovanie používateľov na únik ich dát. Medzi tie najpopulárnejšie patrí Have I Been Pwned, prostredníctvom ktorej si po vložení vašej e-mailovej adresy alebo telefónneho čísla môžete skontrolovať, či sú vaše dáta súčasťou tohto alebo iného dátového úniku.
Deezer odporúča používateľom preventívne si zmeniť heslo. Hoci v tomto prípade k úniku hesiel nedošlo, hackeri môžu tento dátový únik skombinovať s iným a v prípade použitia rovnakého hesla vo viacerých službách získať prístup k účtom, ktoré z pohľadu jednotlivých útokov ohrozené neboli.