Spotify: Vazamento de mais 350 mil credenciais na rede

Plataforma de streaming recomenda troca de senha aos usuários

Nessa sexta-feira (27), o Folha Go vai esclarecer alguns fatos da invasão que o Spotify sofreu tempos atrás, por isso a empresa do aplicativo de forma preventiva, recomendou, essa semana, que mais de 350 mil usuários realizem uma redefinição de senha em sua conta na plataforma.

Após pesquisadores de segurança da vpnMentor encontrarem um banco de dados Elasticsearch, com 72 GB de tamanho, contendo mais de 380 milhões de registos, nos quais, entre eles, encontra-se endereço de e-mail e credenciais de login (nomes de usuário e senhas).

O banco de dados em questão estava desprotegido, permitindo o acesso por qualquer usuário.“Neste caso, o incidente não teve origem no Spotify. O banco de dados exposto pertencia a um terceiro que o estava usando para armazenar credenciais de login do Spotify”.

Leia mais: Qual é o melhor celular da Xiaomi para se adquirir

Ainda foi afirmado que “Essas credenciais provavelmente foram obtidas ilegalmente ou potencialmente vazadas de outras fontes que foram reaproveitadas para ataques de preenchimento de credenciais contra o Spotify.”. Escreveu especialistas anônimos em segurança cibernética da vpnMentor.

O ocorrido, no entanto, não se deu por uma falha do serviço do Spotify, pois foi, possivelmente, um ataque de preenchimento de senhas obtidas em vazamento de outras plataformas, os hackers usam dados de vazamentos de usuário em outros sites e realizam uma técnica de cruzamento de dados para testar login de senha fracas que usuários costumam repetir em várias plataformas.

“As empresas não podem evitar que isso ocorra, pois não controlam as senhas que os consumidores utilizam (e reutilizam) on-line”, diz pesquisadores da vpnMentor.
Além disso, não foi possível identificar quais eram as intenções dos criminosos, porém o banco de dados expostos podem ser usados para variados esquemas criminosos não só por quem o criou.

Além da possibilidade de identificação do usuário, também poderia ser usada em fraudes financeiros, roubo de identidade, golpes ou uso gratuito de contas premium Spotify pagas por usuários originais. Ademais, ainda tem o risco de que essas informações permitam o cruzamento de dados para outras plataformas online privadas, levando em consideração que muitos usuários podem estar usando informação vazadas como login e senhas de outros tipos de contas até mesmo bancarias.

Leia mais: Tecnologia IPTV, a TV sem cabo, apenas via IP

A descoberta ocorreu ainda esse ano, uma vez que os pesquisadores entraram em contado com o Spotify para informar a empresa. Com essa ação, o Spotify passou a entrar em contato com os usuários da plataforma, solicitando que eles realizassem uma redefinição de senha e login de acesso.

Por mais que a descoberta tenha ocorrido no meio do ano, o assunto só foi divulgado na segunda-feira, dia 23 de novembro, pois eram necessárias mais investigações para maiores informações, porém, como vimos anteriormente, a empresa já estava tomando medidas de segurança.

Escreveu um especialista anônimo em segurança cibernética da vpnMentor “Às vezes, a extensão da violação de dados e o proprietário dos dados são óbvios” , e acrescentou “ Na maioria das vezes, precisamos de dias de investigação antes de entender o que está em jogo ou quem está vazando os dados.”. Além disso, escreveu, também, “Trabalhamos muito para publicar relatórios precisos e confiáveis, garantindo que todos que os leem entendam sua seriedade.”.

Aos usuários do aplicativo, é sugerido que sigam as instruções para que possam obter informações de como proceder, para que não seja lesado por hackers mal intencionados. Sendo assim, para aquelas pessoas que usaram a senha do aplicativo e em outros lugares é recomendado que a modifique.

Vale destacar que a lista de dados foi originada de outros servidores e estava acessível na internet, porém o Spotify em si não sofreu vazamento. Isso indica que do Spotify vazou somente senha e login de acesso (credenciais) e, portanto, os dados encontrados no arquivo se tratavam de vazamentos de outras plataformas.

Leia também: ANAC: Tecnologia no campo, Drone permite ampliar aplicação de “defensivos biológicos” na lavoura

Comments
Loading...