Hoje (25), o Spotify (S1PO34) informou que analistas da vpnMentor detectaram que banco de dados com 380 milhões de registros vazados na internet, incluindo senhas de usuários da plataforma de streaming.
De acordo com o Spotify, os golpistas estavam validando os registros para utilizar de forma clandestina na ferramenta, prática conhecida como ataque de preenchimento de credenciais (credential stuffing, em inglês).
O credential stuffing é um tipo de ataque cibernético em que dados de contas roubadas com nome, endereço, e-mail e senha do usuário são utilizadas para o acesso não autorizado em serviço, plataforma, entre outras.
Veja também: Educação financeira – 5 golpes para evitar
Spotify (S1PO34) pede para que usuários redefinam senha
Com o vazamento de dados, a empresa solicitou que seus clientes criassem novas senhas para anular o ataque na plataforma. No entanto, mesmo assim os golpistas podem ter acesso a algumas informações como playlists de músicas dos usuários.
Os especialistas da vpnMentor afirmaram que ainda não foi identificado como os agentes conseguiram atacar a plataforma e nem qual é a origem do banco de dados.
Segundo os profissionais, provavelmente os hackers estavam usando as credenciais de outra ferramenta para entrar nas contas do Spotify. Outra teoria dos pesquisadores é que os hackers estariam encaminhando e-mails falsos para os assinantes.
A prática de credential stuffing já foi usada para violar acessos no iFood e para adquirir remotamente o acesso aos computadores através da ferramenta TeamViewer.
Fique por dentro: Spotify investe em podcast com a compra da Megaphone por US$ 235 milhões
