Spotify, oltre 300 mila account del servizio di musica in streaming violati e compromessi


Diversi hacker avrebbero ottenuto l’acesso a oltre 300 mila account Spotify utilizzando un database di 380 milioni di record contenente credenziali di accesso e informazioni personali raccolte da varie fonti. Per anni, gli utenti si sono lamentati del fatto che i loro account Spotify venissero violati e le password modificate, o che nei piani familiari venissero aggiunti nuovi utenti estranei o ancora che l’elenco delle playlist venisse cambiato senza alcuna interazione o autorizzazione. E VPNMentor scrive che ha scoperto i metodi utilizzati dagli hacker.

Nel nuovo report la fonte descrive nel dettaglio i metodi utilizzati dai cybercriminali per accedere a centinaia di migliaia di account attingendo dal database di cui parlavamo sopra, pubblicamente disponibile online e contenente centinaia di milioni di voci relative alle credenziali di accesso degli utenti e altri dati. Il database viene utilizzato attivamente per hackerare gli account da tempo, con la fonte che descrive alcune delle modalità utilizzate dai malfattori per penetrare nelle difese del servizio di streaming musicale.

Un database da 380 milioni di voci usato per hackerare gli account Spotify

Uno degli attacchi utilizzati più comunemente per hackerare gli account è attraverso il cosiddetto “credential stuffing”, ovvero quando gli autori delle minacce fanno uso di grandi raccolte di dati trapelati in precedenti breach di sicurezza su altre piattaforme online. Queste raccolte contengono in alcuni casi le combinazioni di nomi utente e password usate su altri servizi, ma spesso gli utenti utilizzano – sbagliando – le stesse credenziali per accedere su diversi servizi online.

In questo modo, utilizzando le credenziali rubate su un servizio “x” (magari messo in sicurezza in passato con un cambio password), l’hacker può accedere ad un servizio “y” con gli stessi dati semplicemente cercando di usare i primi sul secondo servizio. Ogni record del database descritto da VPNMentor contiene un nome utente (o nello specifico un indirizzo e-mail), una password, e una voce che delinea le possibilità di successo se usata per eseguire l’accesso su Spotify.

Non è noto ancora come siano stati raccolti le 300 milioni di voci del database, ma è probabile che sia una collezione di diverse violazioni precedenti rilasciate sul web in forma gratuita. I ricercatori ritengono che i record elencati nel database abbiano consentito agli aggressori di violare da 300 mila a 350 mila account Spotify. VPNMentor ha inoltre contattato Spotify il 9 luglio scorso in merito al database esposto e ha ricevuto una risposta lo stesso giorno.

Spotify ha avviato un “rolling reset” delle password per tutti gli utenti coinvolti, sostiene VPNMentor, quindi di conseguenza le informazioni presenti nel database dovrebbero essere oggi obsolete e inefficaci. L’azienda ha inoltre ripristinato le password su tutti gli account compromessi, ma ci si aspetta che introduca modalità d’accesso più sicure per rendere questo tipo di attacchi molto meno efficace. Ad esempio, Spotify non supporta ancora l’autenticazione a più fattori, nonostante sia stato richiesto per lunghi periodi di tempo da una moltitudine dei suoi utenti.



Vai all’articolo Originale!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

X