Acaparamiento de datos de usuario de Spotify expuestas por las prácticas de seguridad descuidadas de los piratas informáticos

Los delincuentes elaboraron una lista de nombres de usuario y contraseñas de Spotify de usuarios de Spotify que habían reutilizado sus contraseñas en otros servicios.

Getty Images

Un grupo de piratas informáticos no tuvo que violar los sistemas de Spotify para acceder a hasta 350.000 cuentas del servicio de transmisión de música. Sólo había una caché de credenciales de inicio de sesión robadas en otros incumplimientos de datos y un poco de paciencia.

Los piratas informáticos tuvieron éxito porque los titulares de cuentas de Spotify reutilizaban contraseñas de otras cuentas que tenían, un error básico de seguridad. Los piratas informáticos sólo debían probar las combinaciones a Spotify y buscar coincidencias, una técnica conocida como relleno de credenciales.

La sencillez de esta técnica no requiere genio, lo que los piratas informáticos demostraron cometiendo su propio error de seguridad. El grupo de criminales no mentales expuso su propia operación almacenando los registros en una base de datos de nube no protegida. Esto significaba que cualquier persona con un navegador web podía ver los datos sin necesidad de contraseña.

Los investigadores de seguridad, Ran locar y Noam Rotem, encontraron los registros expuestos como parte de un proyecto que analiza en Internet los datos sin seguridad. Los investigadores, que piden que se eliminen o bloqueen los datos no garantizadas que encuentran, publicaron lunes sus hallazgos en el sitio web de seguridad vpnMentor.

Locar y Rotem no pueden estar seguros de que los datos no hayan sido encontradas por nadie que tropiece en Internet. Otros piratas informáticos podrían haber descubierto y copiado los registros y probarlos en otros servicios.

«La lección para el usuario final es: no recicle la contraseña.» dijo locar. «Finalmente, uno de ellos quedará expuesto».

Los documentos expuestos no indicaban que hacían los piratas informáticos con las contraseñas. Las cuentas robados de Spotify se pueden alquilar a otros usuarios con un descuento. También se pueden utilizar para la «manipulación de transmisiones», lo que Rolling Stone informó en 2019 que es una preocupación importante en la industria discográfica. La práctica consiste en coordinar las cuentas ordenados en servicios de transmisión de música para aumentar el número de una canción si alguien está dispuesto a pagar por este servicio.

Todo lo que hacían los piratas informáticos, ya no lo harán más. Spotify solicitó un restablecimiento de la contraseña para los usuarios afectados, poniendo fin a la utilidad de los datos, que ya no están expuestas. La empresa aconseja a los clientes que no reutilicen nunca sus contraseñas y ofrece en su sitio web más consejos para proteger la seguridad de la cuenta.

Locar y Rotem también encontraron registros de direcciones IP, que determinaron probablemente relacionadas con los servidores intermediarios que los delincuentes utilizaban para disimular su ubicación mientras ejecutaban su operación. Estos detalles, junto con los registros de cuentas expuestos, podrían ayudar a Spotify a detectar la actividad que proviene del ring.

«El tráfico podría haber parecido legítimo», dijo locar, «durante una duración muy larga».

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *