Purtroppo di tanto in tanto anche i giganti del Web sono loro malgrado vittime di problemi relativi alla sicurezza dei rispettivi utenti e l’ultimo esempio in ordine di tempo è quello che riguarda Spotify: il colosso dello streaming musicale, infatti, pare sia stato costretto a decidere di resettare fino a 350.000 account a causa di una violazione delle credenziali.

Noam Rotem e Ran Locar, ricercatori di vpnMentor, hanno scoperto un enorme database di 72 GB e contenente 380 milioni di record, comprese le credenziali di accesso e altri dati utente convalidati del servizio Spotify e pare che una parte di tale dati sia già stata usata per ottenere l’accesso alla piattaforma musicale.

Spotify ha avuto un grave problema di sicurezza

La scoperta risale al 3 luglio 2020 e il 9 luglio è stata comunicata a Spotify, che tra il 10 e il 21 luglio ha provveduto al ripristino degli account interessati.

Secondo vpnMentor, le origini del database sono sconosciute ma non appartiene al servizio di streaming musicale stesso: dovrebbe essere stato creato da una terza parte che avrebbe raccolto i record da altre fonti per un uso successivo per violare gli account utente.

Rotem e Locar hanno voluto precisare che queste credenziali di accesso sono state molto probabilmente ottenute illegalmente e ciò non non fa altro che confermare che il pericolo per gli account “colpiti” potrebbe essere piuttosto rilevante e, proprio per tale ragione, il team di Spotify avrebbe deciso di correre ai ripari.

I ricercatori stimano che gli account interessati dalla violazione dovrebbero essere tra i 300.000 e i 350.000 e tra i dati compromessi vi sarebbero gli indirizzi email, le informazioni di identificazione personale, i Paesi di residenza e le credenziali di accesso (sia il nome utente che la password).

Le informazioni non erano crittografate e, pertanto, tali dati potrebbero essere utilizzati per accedere e assumere il controllo degli account, oltre che per eseguire attacchi di credential stuffing (ossia un attacco informatico che utilizza la combinazione di posta elettronica e password usata su un sito per provare ad accedere anche ad altri siti).