Spotify. - SGCDESIGNCO / UNSPLASH
MADRID, 23 Nov. (Portaltic/EP) -
Un grupo de 'hackers' ha expuesto involuntariamente los datos de acceso de 350.000 usuarios de la plataforma de música en 'streaming' Spotify, incluidas sus contraseñas, debido a que tras robarlas las almacenaron en un servidor de forma insegura.
Así lo han descubierto los investigadores de ciberseguridad de vpnMentor Ran Locar y Noam Rotem, como recogen se recogen el blog oficial de la compañía, que advirtieron la base de datos desprotegida mientras realizaban una búsqueda de datos inseguros en Internet.
Para acceder a las cuentas expuestas, los cibercriminales no utilizaron ninguna brecha de datos de Spotify, sino que las obtuvieron a través de la técnica de relleno de credenciales, o 'credential stuffing'.
Para ello, solamente utilizaron los nombres de correo y las claves de otras cuentas de servicios de Internet expuestas y fueron probaron hasta hacerse con aquellas que coincidían con las de Spotify porque los usuarios habían repetido las contraseñas.
No obstante, una vez se hicieron con una base de datos de 72GB con más de 380 millones de registros relativos a 350.000 cuentas de Spotify, los atacantes la almacenaron de forma insegura en la nube, de forma que cualquier internauta podía acceder a estas credenciales de acceso.
De hecho, entre la información se descubrieron también direcciones IP que, según los investigadores, parecen corresponderse con los servidores proxi de los operadores de la red donde se alojó la base de datos.
No se conoce para qué se utilizaron las credenciales de Spotify robadas, pero los investigadores han recomendado a los usuarios que no repitan contraseñas en diferentes servicios o que las cambien en caso de duda, ya que otros criminales más peligrosos podrían haberlos conseguido también.
Spotify, tras recibir el aviso de los investigadores, reseteó las cuentas de los usuarios afectados, obligándolos a modificar sus credenciales de acceso. Sin embargo, se exponen a potenciales hackeos de otros servicios, como redes sociales, si han repetido en ellos las contraseñas, e incluso a intentos de estafa a través de 'phishing'.
