Spotify ha subito un attacco Hacker: Resettate oltre 350 mila password

Posted by By Francesco D'Accico 3 Min per Leggere 7 Novembre 2020
Spotify Color

Con una massiccia campagna di notifiche via mail, Spotify ha notificato il reset della password su migliaia di account. Ecco cosa è successo

Alcuni cybercriminali hanno hackerato diversi database online e sono riusciti ad hackerare diversi account di utenti Spotify senza però accedere direttamente ai database di Spotify. Infatti un database presente su un cloud non protetto che mostrava in chiaro mail e password di utenze non collegate a nessun account.

Questo ha permetto di effettuare l’accesso su oltre 350.000 account Spotify tramite attacchi diretti senza possibilità di errore. Come è stato possibile? Semplicemente perché sono stati hackerati servizi esterni a Spotify, non è stato scoperta la provenienza del database, di utenti che usano la stessa mail e password per accedere a diversi servizi online, dalle mail ai servizi di streaming, come appunto Spotify.

Gli hacker hanno semplicemente tentato l’accesso con le credenziali scovate online su diversi servizi online ed effettuato l’accesso su quegli account dove non è attivata l’autenticazione in due fattori o la password non è la stessa. Insomma il gioco è stato facilissimo per gli hacker che non hanno dovuto hackerare i servizi e server Spotify ma semplicemente loggarsi con le credenziali in loro possesso.

Cambio password obbligatorio su Spotify: Ecco perché

Spotify è stata avvisata dai ricercatori di sicurezza Ran Locar e Noam Rotem del team del sito vpnMentor, e dunque ha unito i dati in possesso trovati su internet con quelli di alcuni utenti Spotify ed ha chiesto a loro il reset della password. Insomma, Spotify ha protetto gli account obbligando ad un cambio password perché ha visto accessi anomali da IP diversi e molto distanti da quelli abituali.

Questa particolare tecnica di attacco si chiama credential stuffing, che in pratica prevede l’accesso a più servizi web usando la stessa mail e password. Quindi basta hackerare un servizio per mettere a rischio l’accesso a diversi altri servizi semplicemente conoscendo mail/user e password. Io non ho ricevuto il reset della password di Spotify. E voi?

Tags:
Francesco D'Accico
Visualizza altri post
Sono appassionato di tecnologia sin dalla tenera età, coltivo la mia passione con aggiornamenti quotidiani e non mi lascio scappare proprio nulla. Ho creato HowTechIsMade per condividere con voi le mie passioni ed aiutarvi ad avere un approccio più semplice con la tecnologia.