Especialistas encontraram banco de dados com senhas válidas do Spotify após invasores realizaram ataque de 'credential stuffing'. Golpistas usaram senhas vazadas de outros serviços para tentar violar contas no Spotify, dizem especialistas
Lucas Jackson/Reuters
Especialistas da vpnMentor encontraram um banco de dados exposto com 380 milhões de registros – inclusive com senhas – que estavam sendo validados para uso no serviço de streaming de música Spotify por meio de uma prática conhecida como "credential stuffing". Os pesquisadores comunicaram a empresa, que iniciou uma redefinição das senhas das 350 mil contas envolvidas.
Os dados encontrados não foram vazados do próprio Spotify e tinham apenas algumas informações básicas: e-mail, senha e país de residência.
"Não se sabe a origem do banco de dados nem como os golpistas estavam atacando o Spotify. Os hackers estavam possivelmente usando credenciais roubadas de outra plataforma, aplicativo ou site, e usando-as para acessar contas do Spotify", explicaram os pesquisadores.
A prática de "credential stuffing" consiste em tentar utilizar senhas captadas de outras fontes (como vazamentos diversos ou senhas roubadas com páginas falsas) em novos serviços.
Ou seja, um criminoso pode ter um pacote de senhas vazadas de um site qualquer (ou de vários sites agregados em um único conjunto de dados) e depois tentar usar essas mesmas senhas no serviço que ele quer atingir.
SAIBA MAIS: Playlists no Spotify são usadas em possível golpe milionário com contas fantasmas, diz site
Dessa forma, o ataque viola contas de usuários que usam senhas repetidas em mais de um serviço. Quem utiliza senhas diferentes para cada site não entra na mira dessa prática criminosa, pois as senhas obtidas por invasores só funcionarão no serviço onde elas foram cadastradas.
O "credential stuffing" já foi utilizado para obter acesso remoto em computadores através do TeamViewer e para violar contas no iFood.
Até o momento, não há nenhuma informação sobre o objetivo dos hackers com o uso dessas contas. No entanto, há casos registrados de fraudes no Spotify para inflar os royalties destinados a determinadas músicas e a popularidade das obras.
Sucesso fake: músicos fraudam números de streaming usando robôs e 'jabá 2.0'
Mas os especialistas da vpnMentor levantaram a hipótese de que os golpistas poderiam enviar e-mails falsos para as vítimas, tentando se passar pelo Spotify e usando as informações obtidas dos perfis para melhorar a credibilidade da mensagem.
Com a redefinição das senhas comprometidas, o ataque é anulado, mas ainda é possível que informações (como playlists) tenham sido roubadas das contas antes do acesso a elas ser fechado.
Com as seguidas ocorrências de vazamentos, a recomendação de utilizar senhas diferentes para cada serviço se torna cada vez mais importante.
Qualquer senha vazada de um serviço, mesmo que use algum método seguro de armazenamento, poderá ser decifrada com o tempo e utilizada em outros serviços, ampliando o alcance dos invasores.
Dúvidas sobre segurança, hackers e vírus? Envie para
[email protected]Veja mais vídeos sobre segurança digital
