Um grupo de piratas informáticos compilou uma base de dados com cerca de 250.000 palavras-passe do Spotify e armazenaram os dados na cloud. No entanto, esqueceram-se de proteger o armazenamento com uma palavra-passe.
De acordo com a CNET, sem violar os sistemas do Spotify, um grupo de hackers conseguiu ter acesso a cerca de 350.000 contas no serviço de streaming de música através de uma cache de credenciais de login roubadas noutras violações de dados.
Como os titulares das contas do Spotify estavam a reutilizar as palavras-passe de outras contas que possuíam, os piratas informáticos só tiveram de experimentar as combinações no serviço de streaming e procurar correspondências. Esta técnica é conhecida como credential stuffing.
Apesar de terem tido pouco trabalho a roubar as passwords, os hackers acabaram por cair no próprio erro de segurança e o feitiço virou-se contra o feiticeiro: isto porque acabaram por armazenar os registos numa base de dados na cloud não segura, ou seja, qualquer pessoa podia ter acesso aos dados sem precisar de uma palavra-passe.
Ran Locar e Noam Rotem, investigadores de segurança, encontraram os registos expostos como parte de um projeto de procura de dados não protegidos. Os especialistas publicaram as suas descobertas no site de segurança vpnMentor na segunda-feira.
Ainda não se sabe quem são os hackers por trás do banco de dados nem o que pretendiam fazer com ele.
A CNET sugere dois usos possíveis para justificar o roubar contas de Spotify: alugar as contas premium roubadas a outras pessoas por um preço inferior ou abastecer redes de robôs para manipular os serviços de streaming, usando técnicas obscuras para ganhar mais dinheiro de direitos de autor e melhorar a posição de artistas e bandas nas listas das músicas mais ouvidas.