Spotify a réinitialisé les mots de passe de 350 000 comptes suite à la découverte par des chercheurs d'une base de données en ligne exposant 380 millions d'enregistrements, incluant des identifiants de connexion au service de streaming musical.
L'équipe de recherche de vpnMentor, dirigée par Noam Rotem et Ran Locar, a identifié une opération potentielle de credential stuffing.
Le credential stuffing consiste à utiliser des identifiants volés lors d'une fuite pour tenter d'accéder à d'autres comptes réutilisant les mêmes mots de passe.
Lors d'un projet de cartographie du web, les chercheurs ont repéré une base de données Elasticsearch contenant plus de 380 millions d'enregistrements (32 Go au total). Elle renfermait des identifiants en cours de validation pour Spotify.
Les détails de l'attaque restent inconnus : origines de la base et méthode de ciblage de Spotify sont flous. La fuite provient d'un tiers non chiffré, et non de Spotify directement.
vpnMentor a détecté la fuite le 3 juillet 2020, l'analysant en détail le 9 juillet pour évaluer son impact et rédiger un rapport clair.
Le même jour, l'équipe a alerté Spotify, qui a réagi entre le 10 et le 21 juillet 2020 en réinitialisant jusqu'à 350 000 mots de passe. Cela concerne une fraction des 320 millions d'utilisateurs actifs mensuels, mais reste significatif.
La base incluait adresses e-mail, mots de passe et pays de résidence. Les adresses IP semblent liées à des serveurs proxy d'hébergement, non aux utilisateurs.
Ces comptes étaient vulnérables en raison de mots de passe faibles ou réutilisés sur plusieurs services.
Exemple : un mot de passe "spotify" repéré dans la base, facile à deviner.
Utilisez un mot de passe unique par site. Un gestionnaire de mots de passe facilite cela sans solliciter la mémoire.
À minima, optez pour des mots de passe longs, mélangeant majuscules/minuscules, chiffres, symboles, sans infos personnelles.
[]