Ficou sabendo que o popular serviço de música Spotify iniciou um procedimento de redefinição de senha para cerca de 350 mil usuários, cujas credenciais poderiam ser de domínio público.
O banco de dados de 72 GB do Elacticsearch, que continha mais de 380 milhões de registros, foi descoberto por pesquisadores da vpnMentor Noam Rotem e Ran Locar. O banco de dados estava em formato não criptografado e continha não apenas as credenciais dos usuários do Spotify, mas também outras informações, incluindo endereços de e-mail e locais de residência.
Supõe-se que o banco de dados foi usado para realizar ataques de substituição de credenciais, quando os invasores tentam se autenticar em outras aplicações e plataformas da web usando nomes de usuário e senhas. O problema foi identificado há alguns meses, após o qual os pesquisadores relataram ao Spotify. O serviço tomou as medidas necessárias para proteger os dados do usuário e também lançou um procedimento de redefinição de senha para contas que poderiam estar comprometidas.
A origem exata do banco de dados é desconhecida, mas é notado que o próprio serviço Spotify não foi hackeado. Os pesquisadores especulam que essas informações podem ter sido coletadas de várias fontes de terceiros e vazamentos de dados. “Essas credenciais provavelmente foram obtidas ilegalmente ou resultaram de vazamentos de outras fontes, após o que foram reaproveitadas para realizar ataques usando credenciais do Spotify”, disseram os pesquisadores.
De acordo com especialistas da vpnMentor, o incidente atinge de 300 a 350 mil usuários do serviço de música. Apesar da magnitude aparente, o problema afetou um pequeno número de clientes do Spotify, que tem uma base de usuários de cerca de 299 milhões de pessoas.