La seguridad y la privacidad de nuevo son noticia y ahora de la mano de Spotify. El motivo es que se han filtrado hasta 72 GB de datos sensibles, información sin encriptar que incluye hasta 380 millones de registros entre los que figuran por ejemplo las credenciales de inicio de sesión.
No es la primera vez que salen a la luz fugas de seguridad de este tipo. Lo hemos visto con más empresas, caso de Sony por ejemplo, Facebook o Yahoo. Ahora, gracias a dos investigadores independientes, hemos sabido de la existencia de una base de datos abierta y desprotegida.
Toca cambiar contraseña
Han sido los investigadores de vpnMentor, Noam Rotem y Ran Locar, los que destaparon la noticia de la que se han hecho eco en ZDNet. Y no es algo nuevo, pues ambos investigadores descubrieron los hechos el 3 de julio, tras lo cual, procedieron a revisarlos y a comunicárselos a Spotify el 9 de julio. Entre el 10 y el 21 de julio. Spotify inició un reseteo masivo de las cuentas afectadas.
Estos investigadores hallaron hicieron públicos sus hallazgos una base de datos abierta de Elasticsearch durante el proyecto de mapeo web de la empresa. Hasta un total de 72 GB de información en una base de datos que contenía más de 380 millones de registros.
Entre los datos se hallaron direcciones de correo electrónico, la información de identificación personal, los países de residencia y las credenciales de inicio de sesión, tanto nombres de usuario como contraseñas. Datos que se usan para validar dicho inicio de sesión en la plataforma de audio en streaming.
Al parecer y según vpnMentor, Spotify no tiene relación alguna con esta base de datos y según indican los investigadores, estos datos se puede haber obtenido a partir de diferentes fuentes, incluidos de datos robados.
Con todos estos datos, que además están sin encriptar, se pueden secuestrar cuentas de Spotify en las que los usuarios tienen las mismas contraseñas que en otros servicios en lo que se conoce como "relleno de credenciales".
"Estas credenciales probablemente se obtuvieron ilegalmente o se filtraron potencialmente de otras fuentes que fueron reutilizadas para ataques de relleno de credenciales contra Spotify"
Con todos estos datos sobre la mesa, Spotify, como vimos, tuvo que reaccionar. Con un número de afectados que se puede situar entre los 300.000 y 350.000 (Spotify cuenta con casi 300 millones de usuarios), la empresa llevó a cabo un restablecimiento de los datos de acceso en los usuarios identificados en la base de datos. En este caso, la información filtrada, ya no puede usarse para acceder a Spotify y se ha de generar una nueva clave de acceso.
Ver 2 comentarios