Como é do conhecimento público, o Spotify é um dos mais populares serviços de streaming de música em todo o mundo. Este facto apresenta também desafios únicos, porque, quanto mais utilizadores um serviço tiver, maior é o risco de haver problemas de segurança.
Foi o que aconteceu com o Spotify recentemente. Centenas de milhares de utilizadores foram afectados por uma fuga de informação numa base de dados de um outro serviço que expos credenciais de login no serviço e levou o Spotify a repor forçadamente cerca de 350000 passwords.
De salientar que o roubo de informação não foi no Spotify em si (pelo menos de acordo com a informação oficial do serviço), as credenciais foram obtidas a partir de um tipo de ataque chamado “credential stuffing” em que se usa a informação de login que é roubada e publicada online em vários serviços diferentes para ver se alguma funciona. E só funciona se a mesma password e nome de utilizador são usados em vários serviços em simultâneo.
Se não utiliza a mesma informação de login em vários sites e serviços, as hipóteses de ser apanhado num ataque deste tipo são remotas, mas todos sabemos que muita gente recicla logins por uma questão de conveniência.
Por isso, mesmo tendo uma conta de Spotify que não foi afectada, convém fazer reset das passwords que reciclar em vários sites e serviços.
A base de dados que foi utilizada no ataque tinha 72 GB e mais de 380 milhões de fichas individuais. Foi encontrada por membros do blogue especializado em segurança informática vpnMentor. Para além dos logins, esta base de dados incluía endereços de email e países de residência.