Dos investigadores israelíes de vpnMentor, uno de los sitios web de revisión de redes privadas virtuales más grandes del mundo, anunciaron que han descubierto una posible operación de relleno de credenciales que afectó a las cuentas de Spotify, el popular servicio de streaming. Se trata de una técnica de piratería que explota contraseñas débiles que los consumidores suelen utilizar en varias aplicaciones o servicios.
Noam Rotem y Ran Locar desmenuzaron una base de datos con más de 380 millones de registros, incluida información confidencial como las credenciales de inicio de sesión y las direcciones IP de los usuarios de Spotify. No está claro cómo se compiló la base de datos y cómo exactamente los piratas informáticos atacaron Spotify, pero es posible que estuvieran usando credenciales de inicio de sesión robadas de otra plataforma, aplicación o sitio web.
Según un resumen del incidente proporcionado por vpnMentor, se estima que hasta 350.000 cuentas de usuario se vieron afectadas por el esquema, cuyas direcciones de correo electrónico y contraseñas podrían utilizarse para fraude de identidad, estafas, phishing y ataques de malware.
El ataque se descubrió en julio de 2020 y la compañía afirma que se comunicó de inmediato con Spotify para tratar de rectificar el daño. “En respuesta a nuestra consulta, la plataforma inició un restablecimiento continuo de contraseñas para todos los usuarios afectados. Como resultado, la información en la base de datos se anulará y se volverá inútil”, escribió la compañía en una publicación sobre el incidente.
Los investigadores advirtieron que si recibió un correo electrónico de Spotify en el verano, es esencial cambiar la información de inicio de sesión de cualquier otra cuenta que pueda tener la misma contraseña.
vpnMentor opera como un servicio gratuito para ayudar a proteger a la comunidad en línea de las amenazas cibernéticas y los ataques de malware. Spotify, fundada en 2006, tiene casi 300 millones de usuarios activos mensuales en todo el mundo, lo que la vuelve un blanco importante para los piratas informáticos.