Spotify a dû réinitialiser les mots de passe de certains utilisateurs après avoir exposé par erreur des informations sensibles, telles que le nom, le mot de passe et la date de naissance, à des partenaires commerciaux. Cette vulnérabilité, présente depuis avril 2020, n'a été détectée qu'en novembre.
Cette information provient d'une notification officielle de violation de données déposée par Spotify auprès du bureau du procureur général de Californie (document relayé par TechCrunch).
Le 12 novembre 2020, Spotify a identifié une faille dans son système qui exposait involontairement des données clients à des tiers.
Si vous étiez concerné, vous avez reçu un e-mail de Spotify confirmant la réinitialisation de votre mot de passe.
Les données potentiellement exposées incluent l'adresse e-mail, le nom d'affichage préféré, le mot de passe, le genre et la date de naissance.
Spotify estime que la vulnérabilité datait du 9 avril 2020 et a été corrigée immédiatement après sa découverte le 12 novembre 2020.
Les partenaires commerciaux impliqués n'ont pas été nommés, mais Spotify les a contactés pour exiger la suppression des données.
Aucune garantie n'existe quant à l'absence d'utilisation frauduleuse. Changez immédiatement votre mot de passe Spotify s'il est réutilisé ailleurs.
Interrogé par Engadget, un porte-parole de Spotify a déclaré :
Un très petit sous-ensemble d'utilisateurs de Spotify a été touché par un bogue logiciel, qui a maintenant été corrigé et résolu. La protection de la vie privée de nos utilisateurs et le maintien de leur confiance sont des priorités absolues chez Spotify. Pour résoudre ce problème, nous avons émis une réinitialisation de mot de passe pour les utilisateurs concernés. Nous prenons ces obligations très au sérieux.
Avec plus de 320 millions d'utilisateurs, Spotify n'a pas précisé le nombre de comptes impactés.
La société n'a pas détaillé l'origine de la faille, ce qui est courant dans ces cas. Il reste préoccupant que des données sensibles aient circulé sans chiffrement apparent.
Ce n'est pas la première alerte récente : en novembre 2020, Spotify a réinitialisé 350 000 mots de passe suite à une attaque de credential stuffing, non imputable à une faute interne.
Cet incident rappelle l'importance d'utiliser des mots de passe uniques par service. Un gestionnaire de mots de passe open source est une solution fiable pour y parvenir.
[]