Spotify change les mots de passe après une brèche de données

Spotify a alerté les utilisateurs que certaines de leurs données sensibles ont été exposées par inadvertance à un partenaire commercial tiers. Parmi ces données on retrouve les adresses e-mail, les noms d’affichage préférés, les mots de passe, le sexe et les dates de naissance. Il s’agit au moins de la troisième brèche de données en moins d’un mois pour le plus grand service de streaming au monde.

Un communiqué de Spotify à propos de l’incident a déclaré que l’exposition était due à une vulnérabilité logicielle qui existait du 9 avril au 12 novembre, date à laquelle elle a été corrigée.

«Nous prenons très au sérieux toute perte d’informations personnelles et prenons des mesures pour vous protéger, vous et vos informations personnelles», lit-on dans le communiqué publié le 9 décembre. « Nous avons mené une enquête interne et avons contacté tous nos partenaires commerciaux qui auraient pu avoir accès aux informations de votre compte pour nous assurer que toute information personnelle qui leur aurait été divulguée par inadvertance a été supprimée. »

Spotify est ciblé

L’annonce intervient quelques jours à peine après que certaines des pages Spotify de stars les plus populaires du service de streaming aient été piratées par un individu malveillant nommé «Daniel», il a notamment utilisé les pages de Dua Lipa et Pop Smoke, pour proclamer son amour pour Trump et Taylor Swift.

À peine une semaine avant cet incident, à la fin du mois de Novembre, Spotify était victime d’une vague de prises de contrôle de comptes à la suite d’une opération de bourrage d’informations d’identification. Dans ce type d’attaque, les pirates informatiques parient sur la réutilisation des mots de passe. ils essaient des mots de passe et des identifiants volés sur différents services pour accéder à une gamme de comptes.

Les chercheurs de vpnMentor ont trouvé une base de données Elasticsearch ouverte et vulnérable avec les données de plus de 380 utilisateurs de Spotify, y compris les informations de connexion.

«La base de données exposée appartenait à un parti tiers qui l’utilisait pour stocker les informations de connexion Spotify», a déclaré la société. «Ces informations d’identification ont très probablement été obtenues illégalement ou ont potentiellement été divulguées par d’autres sources.»

Au moment de cette brèche, Spotify a lancé des réinitialisations de mot de passe progressives, rendant la base de données inutile.

Spotify et bourrage d’informations

Les données des utilisateur de Spotify ont à nouveau été exposées.

«Un très petit sous-ensemble d’utilisateurs de Spotify a été affecté par une faille logiciel, qui a maintenant été corrigée et résolue.» a déclaré un porte-parole de Spotify. «La protection de la vie privée de nos utilisateurs et le maintien de leur confiance sont les principales priorités de Spotify. Pour résoudre ce problème, nous avons forcé une réinitialisation de mot de passe pour les utilisateurs concernés. Nous prenons ces obligations très au sérieux. »

La société recommande aux utilisateurs de mettre à jour les mots de passe des autres comptes liés au même compte de messagerie.

« Encore une fois, bien que nous ne soyons pas au courant d’une utilisation non autorisée de vos informations personnelles, par mesure de précaution, nous vous encourageons à rester vigilant en surveillant votre compte de près », a ajouté le communiqué de Spotify. « Si vous détectez une activité suspecte sur votre compte Spotify, vous devez nous en informer rapidement. »

spotify

Kacey Clark, chercheur en sécurité chez Digital Shadows, a déclaré que ces types de vol de base de données sont exactement ce dont les individus malveillants ont besoin pour lancer une attaque de bourrage d’informations d’identification.

«La force brute, les outils de piratage et les vérificateurs de compte sont les pierres angulaires de nombreuses opérations de prise de contrôle de compte, permettant de manière fiable aux attaquants de mettre la main sur encore plus de données.» a expliqué Clark. « Ce sont des scripts ou des programmes automatisés appliqués à un système de connexion, qu’il soit associé à une API ou à un site Web, pour accéder au compte d’un utilisateur. »

Une fois qu’ils y sont, le nombre de dommages que les pirates informatiques peuvent potentiellement infliger aux victimes est très limité.

«Les opérations criminelles utilisant des outils de piratage par force brute ou des vérificateurs de compte peuvent également tirer parti des adresses IP, des services VPN, des botnets ou des proxys pour maintenir l’anonymat ou améliorer la probabilité d’accéder à un compte», a ajouté Clark. « Une fois qu’ils y sont, ils peuvent utiliser le compte à des fins malveillantes ou extraire toutes ses données (y compris potentiellement les détails de la carte de paiement ou les informations personnellement identifiables) pour le monétiser. »

Elle a ajouté que les résultats de la recherche de Digital Shadows selon lesquels les services de streaming représentaient 13% des comptes répertoriés sur les marchés de criminels.

« En fin de compte, préférez-vous payer 10$ par mois pour un autre service de streaming ou 5$ pour un accès à vie? » a-t-elle demandé.

Les services de streaming ciblés

Les services de médias et de streaming sont des cibles bien connues d’attaques de bourrage d’informations d’identification. Akamai a récemment identifié le risque d’attaques de bourrage d’informations d’identification pour les fournisseurs de contenu comme Spotify.

«Les pirates sont très attirés par la notoriété et la valeur des services de streaming en ligne», selon la firme. Dans le dernier rapport d’Akamai sur l’état de la sécurité de l’industrie des médias, il a révélé que 20% des 88 milliards d’attaques de bourrage d’identifiants observées au cours de l’année écoulée visaient des entreprises de médias.

spotify

«Tant que nous aurons des noms d’utilisateur et des mots de passe, des criminels essaieront de les compromettre et d’exploiter des informations précieuses», a expliqué Steve Ragan, chercheur à Akamai. «Le partage et le recyclage des mots de passe sont sans aucun doute les deux principaux facteurs contribuant aux attaques de bourrage d’identifiants.

Et si de bonnes protections par mot de passe sont un moyen intelligent pour les consommateurs de protéger leurs données, Ragan a souligné que ce sont les entreprises qui doivent prendre des mesures proactives pour renforcer la sécurité et maintenir la confiance des consommateurs.

«Bien qu’éduquer les consommateurs sur une bonne hygiène des identifiants soit essentiel pour lutter contre ces attaques, il appartient aux entreprises de déployer des méthodes d’authentification plus solides et d’identifier la bonne combinaison de technologies, de politiques et d’expertise qui peuvent aider à protéger les clients sans nuire à l’expérience utilisateur.»

Si cet article vous a plu, jetez un œil notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x