救命啊！小編親自示範在台灣 Spotify帳號遭駭被盜，該如何即刻救援？

清晨，台北的天空還下著雨，剛起床的筆者一如往常查看手機上有沒有任何通知。此時一封E-Mail吸引了我的注意，而當時的筆者還不知道，原來自己早已陷進了一場資安危機中卻不自覺……

我們已更新了你的電子郵件地址

筆者一早醒來就收到由Spotify寄來的E-Mail，表示我的電子郵件帳號已經遭到變更。一開始筆者感到相當困惑，首先，我並沒有去主動變更Spotify上的E-Mail地址，而且變更後的E-Mail我完全不認識；其次，難道Spotify允許使用者變更帳號綁定的電子郵件？畢竟就筆者的經驗而言，由於E-Mail是帳號救援的重要管道，絕大多數網路服務都只允許使用者變更密碼，或者是提供備用E-Mail，而不允許用戶變更主要電子郵件地址。

▲ 一早收到Spotify的通知信，E-Mail被變更為完全不認識的地址，讓筆者的心和台北的天空都同樣下著雨。這時的筆者仍尚未意識到自己的Spotify遭到他人盜用的事實，畢竟網路上這種「含有使用者的部分資訊，要求你進行進一步操作」的釣魚郵件比比皆是。於是筆者選擇先從「信件的真偽」開始追查，發現郵件的寄件者地址是「no-reply@spotify.com」也確實通過Gmail的簽署；筆者上網搜尋後，確認該郵件是由Spotify官方發出，而嘗試用原本的帳號密碼也確實無法登入Spotify。

這時我才完全肯定，有人駭了我的Spotify帳號！

雖然筆者的Spotify是按月付款，而且訂閱也即將到期，若是帳號真的無法救回，損失也不算大太，所以我的腦海中也一度閃過「不如不要救了」這樣的想法。但考量到Spotify中有筆者精挑細選的歌單，若是搭捷運、運動時沒有音樂相伴，心靈上會相當痛苦，於是筆者下定決心把Spotify的帳號存取權拿回來！

奪回帳號其實很簡單

Spotify所寄來的郵件當中提到：

如果你並未進行變更，請寄電子郵件告知我們，地址為：account-details-changed@spotify.com。我們將調查究竟發生什麼事。

於是筆者依循指示，撰寫一封主旨為「並未變更Email」的信寄到上列信箱，內文闡述自己的帳戶遭到他人變更Email。筆者也一度擔心信件內容為中文，身為外商的Spotify能不能看得懂，但後來順利收到回信也解除了筆者的多慮。

▲ Spotify要求筆者提供相關資料進行身分核對，同時也暫時停用了該帳戶的存取權。

十分鐘後，我收到了來自Spotify的回信。Spotify表示已經「暫停了該帳號的存取權」，並要求我提供「過去30天內使用過Spotify的裝置機型或作業系統資訊」，提供進一步查核。而筆者也如實提供前一天在紅米5Plus上用Spotify聽音樂的狀況並回信。

▲ 證實帳號遭到盜用後，Spotify回信要求筆者重設密碼。大約二十分鐘後，Spotify證實了我的帳號遭他人盜用，並將電子郵件地址恢復到遭駭客竄改前，接著要求筆者重設密碼以拿回帳號存取權。

▲ Spotify將筆者的E-Mail恢復原本設定，要求重置密碼後收信，再輸入新密碼就能順利登入。使用原本的E-Mail進行密碼重設後，筆者順利登入Spotify，發現珍藏的歌單並沒有遭到刪除或竄改，但播放清單中卻出現了我從來沒聽過的歌曲和專輯，而歌手也是筆者一輩子沒見過的「哥倫比亞藝人」。

▲ 筆者從沒聽過的歌曲出現在Spotify播放清單上，Google的結果發現是一名歌倫比亞藝人。

為什麼我的Spotify帳號會遭駭？

奪回帳號存取權後，筆者做的第一件事就是利用Spotify的「全部登出」功能，將可能殘存在盜用者手上的帳號權限登出，藉此保護自己的帳號不再受到侵害。

▲ 在Spotify的帳戶概覽中點選「全部登出」，就能讓所有曾經登入Spotify的裝置失去存取權。

接著筆者開始研究Spotify帳號遭到入侵的原因。首先，筆者對於自己的資安觀念十分有信心，平常不瀏覽奇怪的網站，更不隨便下載東西，就連防毒軟體及作業系統都照三餐更新，既然如此我的Spotify怎麼還會遭到他人盜用？

經過深思熟慮與查找資料，筆者首先發現自己的Spotify密碼已經有很長一段時間沒有變更，而原本註冊Spotify的E-Mail與密碼也曾用於其他網站，再加上2016年時Spotify曾經發生過個人資料外洩事件，這些都有可能讓駭客獲得我的帳號存取權。

▲ 2016年Spotify曾發生資料外洩，並將用戶資訊公開於Pastebin網站上的資安事件。而Spotify也在當時要求使用更改密碼以保護帳號安全。

其次，筆者發現Spotify對於帳號保安的措施過於簡單，駭客只要取得使用者的密碼，就能夠輕易變更電子郵件帳號，遭駭的用戶也只會得到一封電子郵件做為提醒。更重要的是，Spotify至今沒有提供兩步驟驗證（Two-Step VerificatION）的選項，造成保護Spotify帳號安全的唯一防線只有密碼，這樣的安全保障對於資安風險不停增加的網際網路來說是十分薄弱的。

▲ 電信小額付款不僅限定額度，交易過程更需要使用者的手機門號進行確認，相對於將信用卡資料儲存在網路上來說，是個更安全的選項。最後筆者對於Spotify客服的反應速度感到十分讚賞，能夠在很短的時間內幫助用戶取回遭駭的帳號。筆者也慶幸自己採用「電信小額付款」的方式來購買Spotify訂閱，而沒有將信用卡資訊留在Spotify網站上，避免了更大的損失。