La sécurité et la confidentialité sont à nouveau d’actualité et désormais de la main de Spotify. La raison en est que jusqu’à 72 Go de données sensibles ont été divulgués, informations non cryptées, y compris jusqu’à 380 millions d’enregistrements Ceux-ci incluent, par exemple, vos informations de connexion.

Ce n’est pas la première fois que des fuites de sécurité de ce type sont découvertes. Nous l’avons vu avec plus d’entreprises, comme Sony, Facebook ou Yahoo. Désormais, grâce à deux chercheurs indépendants, nous avons appris l’existence d’une base de données ouverte et non protégée.

Ce sont les chercheurs de vpnMentor, Noam Rotem et Ran Locar, qui ont découvert la nouvelle qui a fait écho sur ZDNet. Et ce n’est pas quelque chose de nouveau, car les deux chercheurs ils ont découvert les faits le 3 juillet, après quoi, ils ont procédé à leur examen et les ont communiqués à Spotify le 9 juillet. Entre le 10 et le 21 juillet. Spotify a commencé une réinitialisation massive des comptes concernés.

Ces chercheurs ont découvert qu’une base de données Elasticsearch ouverte publiait leurs résultats au cours du projet de cartographie Web de l’entreprise. Jusqu’à un total de 72 Go d’informations dans une base de données contenant plus de 380 millions d’enregistrements.

Ces données pourraient être utilisées pour accéder aux comptes Spotify ou à d’autres services qui utiliseront les mêmes informations d’identification

Parmi les données figuraient adresses e-mail, informations personnellement identifiables, pays de résidence et identifiants de connexion, à la fois les noms d’utilisateur et les mots de passe. Données utilisées pour valider ladite connexion dans la plateforme audio de streaming.

Apparemment et selon vpnMentor, Spotify n’a aucune relation avec cette base de données et selon les chercheurs, ces données peuvent avoir été obtenues à partir de différentes sources, y compris des données volées.

Avec toutes ces données, qui sont également non cryptées, Les comptes Spotify peuvent être détournés où les utilisateurs ont les mêmes mots de passe que les autres services dans ce que l’on appelle le «bourrage d’informations d’identification».

“Ces informations d’identification ont probablement été obtenues illégalement ou potentiellement divulguées à partir d’autres sources qui ont été réutilisées pour des attaques de bourrage d’informations d’identification contre Spotify”

Avec toutes ces données sur la table, Spotify, comme nous l’avons vu, a dû réagir. Avec un nombre de personnes touchées pouvant être compris entre 300 000 et 350 000 (Spotify compte près de 300 millions d’utilisateurs), la société a procédé à une réinitialisation des données d’accès sur les utilisateurs identifiés dans la base de données. Dans ce cas, les informations divulguées ne peuvent plus être utilisées pour accéder à Spotify et un nouveau mot de passe doit être généré.

