Une base de données ouverte contenait des identifiants Spotify

Spread the love
Une base de données ouverte contenait des identifiants Spotify

Spotify a commencé une réinitialisation de mot de passe progressive pour certains comptes d’utilisateurs suite à la découverte d’une base de données ouverte contenant des identifiants d’utilisateurs.

Cette semaine, les chercheurs Noam Rotem et Ran Locar de vpnMentor ont publié leurs conclusions, indiquant qu’une base de données Elasticsearch ouverte a été découverte dans le cadre de leur projet de cartographie du réseau internet.

publicité

La base de données de 72 Go contient plus de 380 millions d’enregistrements, “y compris les identifiants de connexion et d’autres données utilisateur valides sur le service Spotify”, a déclaré l’équipe.

Selon vpnMentor, l’origine de la base de données est inconnue, mais elle n’appartient pas au service de streaming musical lui-même. Le tiers à l’origine de la base de données peut avoir rassemblé des données provenant d’autres sources, telles que des données volées ou provenant d’une autre plateforme, afin de les utiliser ultérieurement pour détourner des comptes d’utilisateurs.

“Ces identifiants ont très probablement été obtenues illégalement ou potentiellement divulgués par d’autres sources qui ont été utilisées pour des attaques de credential stuffing contre Spotify”, ont déclaré Rotem et Locar.

Certains utilisateurs de Spotify, mais pas tous, sont affectés. On estime qu’environ 300 000 à 350 000 comptes sont concernés la fuite, dans lesquels les adresses électroniques, des données personnelles, les pays de résidence et les identifiants de connexion – à la fois les noms d’utilisateur et les mots de passe – étaient disponibles.

Les informations n’étaient pas chiffrées. Par conséquent, ces enregistrements pourraient être utilisés pour accéder à des comptes, ainsi que pour effectuer des attaques de credential stuffing si les combinaisons de mots de passe et de courrier électronique étaient utilisées sur d’autres plateformes ou pour accéder à d’autres applications.

Cependant, il convient de noter que les données divulguées ne concernent qu’une infime partie des 299 millions d’utilisateurs mensuels actifs de Spotify.

vpnMentor a découvert la base de données le 3 juillet, et après un examen, a contacté Spotify le 9 juillet. Entre le 10 et le 21 juillet, le service de streaming musical a lancé une réinitialisation progressive des mots de passe pour les utilisateurs identifiés dans la base de données, garantissant que les combinaisons de mots de passe et de noms d’utilisateur — au moins sur la plateforme Spotify — deviendraient inutiles.

Source : “ZDNet.com”

Leave a Reply