Damián Digital

300.000 cuentas de Spotify han sido hackeadas

Una base de datos mal hecha de alrededor de 380.000 credenciales de acceso es un recordatorio perfecto para el resto de nosotros de no reciclar nuestras contraseñas.

Según vpnMentor, el equipo que encontró la base de datos, esto no fue en absoluto el resultado de una brecha por parte de Spotify. De hecho, el origen de los datos del usuario y cómo se obtuvieron siguen siendo desconocidos. Pero de donde quiera que procedan, explica el blog, estos datos de acceso fueron sometidos a lo que se conoce como «relleno de credenciales»: un tipo de ataque en el que un enorme volumen de correos electrónicos y contraseñas se introducen en varios sitios web (normalmente populares) y aplicaciones en masa. Si alguna cuenta es capturada usando las mismas credenciales de inicio de sesión entre el sitio del que proviene y el que está siendo rellenado, el hacker o los hackers pueden acceder fácilmente al servicio en cuestión, en este caso, Spotify.

Entre 300.000 y 350.000 cuentas de Spotify se vieron comprometidas por este último asalto de relleno, con nombres de usuario, contraseñas y correos electrónicos de las cuentas expuestos. Dado que no es una red social propensa a las campañas de desinformación, y no se sabe que se hayan filtrado datos financieros, esto podría parecer mucho trabajo sólo para conseguir el nivel premium de pago de Spotify de forma gratuita. Es más probable, como señala CNET, que el objetivo del ataque fuera defraudar a Spotify en sí mismo en lugar de a sus usuarios. Con miles de cuentas a su disposición, estos hackers podían realizar una pequeña «manipulación de streaming», exprimiendo el número de veces que se reproduce una canción o un artista en particular. (Presumiblemente uno podría vender esto como un servicio a los artistas reales en busca de un impulso ilegítimo, o bien crear pistas de basura y cosechar las regalías de streaming ellos mismos).

LEER  Proyecto Libra de Facebook navega hacia el desastre

Hemos contactado con Spotify para ver si comparte algún detalle de para qué se usaron las cuentas comprometidas.

Después de ser notificado de la violación el verano pasado, Spotify – que a su crédito respondió el mismo día, según vpn emitió un «rolling reset» de las contraseñas involucradas – que de manera realista, debería instituir para todos los usuarios, continuamente. Quiero decir, Dios mío, el ejemplo que vpnMentor cita de una de esas cuentas comprometidas usó la contraseña «spotify». Ahora, cuatro meses después de enviar estos resets, la información en la base de datos de estos hackers debería ser efectivamente inútil (en Spotify, de todos modos.)

De donde sea que vinieran estas credenciales, y como sea que se estuvieran usando, es un buen momento como cualquier otro para tomarse una o dos horas durante el fin de semana largo y cambiar las contraseñas. Activa la autenticación multifactorial donde esté disponible. No las recicle entre sitios.

Es importante mantener su información segura, algo que imagino que los hackers involucrados en esta pequeña prueba recordaron cuando sus inicios de sesión robados se volvieron inútiles. De acuerdo con vpnMentor, el énfasis es suyo:

Nuestro equipo fue capaz de acceder a esta base de datos porque era completamente insegura y no estaba encriptada.

Fuente: https://www.gizmodo.com.au/

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: