Spotify a dû réinitialiser les mots de passe de certains utilisateurs après avoir accidentellement exposé des informations client, notamment le nom, le mot de passe et la date de naissance, à certains de ses partenaires commerciaux. La vulnérabilité existait depuis avril, mais n'a été découverte qu'en novembre.
Cette nouvelle provient d'une notification de violation de données (document fourni par TechCrunch) que Spotify a déposée auprès du bureau du procureur général de Californie.
Le 12 novembre 2020, Spotify a découvert une vulnérabilité dans son système qui exposait par inadvertance certaines informations client à des tiers.
Si vous avez été impacté par cela, vous avez dû recevoir un e-mail de Spotify vous informant qu'il avait réinitialisé votre mot de passe.
Les informations partagées peuvent avoir inclus votre adresse e-mail, votre nom d'affichage préféré, votre mot de passe, votre sexe et votre date de naissance.
Spotify estime que cette vulnérabilité existe depuis le 9 avril 2020, mais il ne l'a découverte que le 12 novembre 2020, lorsqu'il affirme que "nous avons pris des mesures immédiates pour la corriger".
Spotify n'a pas nommé les partenaires commerciaux qui ont reçu les données, mais note qu'il les a contactés pour s'assurer que toutes les informations client ont été supprimées.
Bien sûr, il n'y a aucune garantie que l'utilisation non autorisée de vos informations n'aura pas lieu, donc si vous avez utilisé votre mot de passe Spotify ailleurs, vous devez le changer immédiatement.
En s'adressant à Engadget, un porte-parole de l'entreprise a déclaré :
Un très petit sous-ensemble d'utilisateurs de Spotify a été touché par un bogue logiciel, qui a maintenant été corrigé et résolu. La protection de la vie privée de nos utilisateurs et le maintien de leur confiance sont des priorités absolues chez Spotify. Pour résoudre ce problème, nous avons émis une réinitialisation de mot de passe pour les utilisateurs concernés. Nous prenons ces obligations très au sérieux.
Spotify compte plus de 320 millions d'utilisateurs et on ne sait pas quel pourcentage d'entre eux ont été touchés par cela.
La société de streaming n'a pas non plus détaillé comment la vulnérabilité s'est produite, bien que cela soit habituel dans ces situations. Néanmoins, il est préoccupant que les informations des clients aient pu circuler si librement dans un état apparemment non crypté.
Ce n'est pas la première fois ces derniers mois que Spotify rencontre des problèmes avec les mots de passe des utilisateurs. En novembre 2020, Spotify a dû réinitialiser 350 000 mots de passe en raison d'une violation de données. Cependant, cela était dû à une opération de credential stuffing, plutôt qu'à la faute de Spotify lui-même.
Au contraire, cette histoire est une leçon pour utiliser des mots de passe uniques pour chaque service. De cette façon, si quelqu'un obtient un mot de passe, un seul service est compromis. La façon de vous aider à y parvenir est d'utiliser un bon gestionnaire de mots de passe open source.
