Alrededor de 350 mil cuentas de Spotify fueron robadas mediante ataques de “credential stuffing”.
Según indicó la compañía de seguridad informática ESET mediante un comunicado, detectaron una base de datos indebidamente asegurada accesible a través de Internet con más de 380 millones de registros individuales.
Entre ellas se identificaron credenciales de inicio de sesión que se utilizaron para acceder a entre 300.000 y 350.000 cuentas de la aplicación de música en streaming.
“Los registros expuestos incluían una variedad de información confidencial, como nombres de usuario y contraseñas de personas, direcciones de correo electrónico y países de residencia”, indicaron desde ESET.
“El tesoro escondido de datos se almacenó en un servidor Elasticsearch indebidamente asegurado y fue descubierto por vpnMentor. Se desconoce tanto el origen como los propietarios de la base de datos”, agregaron.
No obstante, los expertos se contactaron con Spotify y validaron la veracidad de los datos. Desde la aplicación confirmaron que los datos habían sido usados para engañar a la empresa y a usuarios.
En palabras simples, credential stuffing (relleno de credenciales) es un tipo de ataque automatizado de secuestro de cuentas en la que los ciberdelincuentes utilizan bots para hacer intentos de inicio de sesión usando credenciales de acceso que fueron robadas en brechas registradas en otros sitios.
Es así como realizan pruebas hasta dar con la combinación correcta de “antiguas” credenciales de acceso que funcionen en otros sitios web y así logran acceder.
“Generalmente, el uso del doble factor de autenticación mitiga las posibilidades de que las cuentas se vean comprometidas mediante este tipo de ataque, pero Spotify no cuenta con esta opción”, explicaron desde ESET.
“El equipo contactó a la compañía de streaming de música sueca el 9 de julio y recibió una respuesta casi inmediata. En un plazo de once días, entre el 10 y el 21 de julio, Spotify resolvió el problema y lanzó un restablecimiento de contraseñas para todos los usuarios afectados”, puntualizaron.
Los investigadores indicaron que en este caso, el incidente no se originó en Spotify.
“La base de datos expuesta pertenecía a un tercero que la estaba utilizando para almacenar las credenciales de inicio de sesión de Spotify. Estas credenciales probablemente se obtuvieron ilegalmente o se filtraron de otras fuentes y fueron reutilizadas para lanzar ataques de credential stuffing contra Spotify”, enfatizaron.
