Fino a 350.000 utenti Spotify scelti come target da Credential Stuffer

La campagna potenzialmente seria conteneva un database cloud non protetto contenente centinaia di milioni di record utente.

Il team di vpnMentor ha trovato il database, ospitato su un server Elasticsearch completamente non protetto, il 3 luglio.

La raccolta di dati da 72 GB conteneva oltre 380 milioni di record, inclusi indirizzi e-mail, paesi di residenza, nomi utente e password per gli utenti di Spotify. Ha affermato che erano interessati circa 300.000-350.000 utenti.

Spotify ha risposto immediatamente alle iniziative di vpnMentor, il 9 luglio.

“Il database esposto apparteneva a una terza parte che lo stava utilizzando per memorizzare le credenziali di accesso di Spotify. Queste credenziali sono state molto probabilmente ottenute illegalmente o potenzialmente trapelate da altre fonti che sono state riproposte per attacchi di credential stuffing contro Spotify”, ha osservato vpnMentor.

“In risposta alla nostra richiesta, Spotify ha avviato un ripristino continuo delle password per tutti gli utenti interessati. Di conseguenza, le informazioni sul database verrebbero annullate e diventerebbero inutili”.

Oltre a utilizzare le credenziali violate per prendere di mira altri siti in campagne di credential stuffing, qualsiasi attore malintenzionato che ha scoperto il database potrebbe aver cercato di vendere l’accesso all’account premium Spotify o avviare tentativi di phishing e furto di identità di follow-on utilizzando questi dettagli e le e-mail degli utenti.

“Le credenziali sono un’area particolare in cui gli utenti vengono lasciati esposti perché scelgono password deboli o le riutilizzano su siti diversi”, ha affermato Javvad Malik, grande sostenitore della consapevolezza della sicurezza presso KnowBe4.

“Questo è il motivo per cui è importante che gli utenti comprendano l’importanza di scegliere password univoche e complesse nei propri account e, se disponibili, abilitare e utilizzare MFA. In questo modo, anche se un account viene compromesso, non è possibile per gli aggressori utilizzare tali credenziali per violare altri account”.