Um banco de dados com mais de 350 mil contas de usuários do Spotify foi encontrado em um servidor online e sem senha. A lista foi achada por Noam Rotem e Ran Locar, pesquisadores de segurança da vpnMentor.
Se você preferir, pode ouvir essa matéria completa clicando no Play o
De acordo com a vpnMentor, criminosos utilizaram técnicas de preencher credenciais (credential stuffing) para compilar um banco de dados com nomes de usuário e senha verificados, além de e-mail e país de residência.
Um total de 380 milhões (mais de 72GB) de registros separados, que estava hospedado em um servidor sem proteção.
Vazamento do Spotify
Credencial stuffing é um ataque simples no qual um criminoso tenta logar em diversos sistemas com a mesma senha que vazou de algum serviço. Isso afeta somente as pessoas que utilizam a mesma senha para diversos serviços online.
Por exemplo: se por um acaso vazar seus dados de acesso de algum serviço e você utiliza a mesma senha (ou muito parecida) para entrar em outros sites, apps ou sistemas, os criminosos podem tentar usar essa senha vazada para acessar outros serviços.
Nesse caso, eles se apropriaram de vazamentos antigos para montar uma lista de usuários que utilizam a mesma senha vazada para o Spotify. A lista está disponível para qualquer um com acesso à internet:
“O incidente não teve origem no Spotify. O banco de dados exposto pertencia a um terceiro que o estava usando para armazenar credenciais de login do Spotify. Essas credenciais provavelmente foram obtidas ilegalmente ou potencialmente vazadas de outras fontes que foram reaproveitadas para ataques de preenchimento de credenciais contra o Spotify”, dizem os pesquisadores em post no blog da empresa.
Resposta do Spotify
Os pesquisadores informam que entraram em contato com o Spotify, que iniciou uma ‘redefinição contínua’ de senhas para todos os usuários afetados, certamente anulando os dados expostos.
Além de que, normalmente, esse problema não é de responsabilidade das empresas, já que não podem controlar como usuários criam suas senhas.
“As empresas não podem evitar que isso ocorra, pois não controlam as senhas que os consumidores utilizam (e reutilizam) online”, comentam os pesquisadores.
Em uma varredura de web de rotina da empresa, o banco de dados foi encontrado completamente desprotegido e portanto, não criptografado
“Fomos capazes de acessá-lo [banco de dados] por meio do navegador e manipular os critérios de pesquisa de URL para expor esquemas de um único índice a qualquer momento”.
No relatório, a vpnMentor informou que não há como saber quem acessou os dados e discute portanto também sobre os potenciais impactos de um incidente como esse.
Fonte: vpnMentor.
A Global Gate é especialista em segurança de dados
Mais importante do que corrigir essas falhas é atuar na prevenção. Portanto, contar com ferramentas que agilizem a detecção das falhas e permita uma rápida solução é melhor caminho.
Que tal dar esse passo agora mesmo? Solicite o contato da nossa equipe para que juntos possamos encontrar a solução ideal pra você!
