Les identifiants de 300.000 comptes en accès libre sur la toile — Spotify

Alain Brian
Novembre 27, 2020
Part

Cette semaine, les chercheurs Noam Rotem et Ran Locar de vpnMentor ont publié leurs conclusions, indiquant qu'une base de données Elasticsearch ouverte a été découverte dans le cadre de leur projet de cartographie du réseau internet.

La base de données de 72 Go contient plus de 380 millions de données, " y compris les identifiants de connexion et d'autres données utilisateurs du service Spotify ", précise l'équipe. Dans le second, les hackers ont eux-mêmes mis en ligne de " fausses " musiques sur la plateforme et faisaient gonfler les statistiques de celles-ci pour toucher directement un pourcentage payé par le service de streaming.

Spotify réinitialise progressivement les mots de passe de certains comptes suite à la découverte d'une base de données ouverte contenant les identifiants de certains utilisateurs. Les données peuvent provenir d'autres sources, par exemple il peut s'agir de données volées ou provenant d'une autre plateforme, qui aurait été rassemblées en vue de les utiliser ultérieurement pour détourner des comptes d'utilisateurs.

Spotify, qui a été mis au courant de cette faille l'été dernier, a rapidement réagi en effectuant une réinitialisation des mots de passe concernés. Cette dernière regroupait des informations sensibles sur un nombre important d'utilisateurs Spotify sans qu'aucun mot de passe ni système de cryptage ne la protège, renforçant ainsi le risque que les quelque 300.000 comptes soient piratés.

Les informations n'étaient pas chiffrées. En effet, pour accéder à ces comptes Spotify, les hackers auraient eu recours à la méthode du " credential stuffing " qui consiste, dans un premier temps, à récupérer des listes aléatoires d'identifiants et de mots de passe mal sécurisés directement sur le DarkWeb. Il convient de noter que dans ce cas, les serveurs de Spotify n'ont pas été violés mais ceux de services tiers, qui contenaient des informations telles que les adresses e-mail et les informations de connexion des utilisateurs. Selon l'entreprise, cela est fait pour éviter de futurs problèmes après une fuite de la base de données.

D'autres rapports CampDesrEcrues

Articles récents Nouvelles

Le 21 décembre prochain, un phénomène rare aura lieu dans le ciel
Assassin's Creed Valhalla : toutes les infos sur mise à jour 1.0.4
Mort de Christophe Dominici : l'hommage de Jonny Wilkinson

Discuter de cet article

LES PLUS LUS CampDesrEcrues

Rémy Buisine raconte heure par heure Rémy Buisine raconte heure par heure

Le Medef envisage de rendre le télétravail obligatoire Le Medef envisage de rendre le télétravail obligatoire " quelques jours par semaine "

Erreur fatale pour Laurence Ferrari face à Philippe Etchebest, audiences explosives — CNews Erreur fatale pour Laurence Ferrari face à Philippe Etchebest, audiences explosives — CNews

France > Vers un retour du public dans les stades le 15 décembre France > Vers un retour du public dans les stades le 15 décembre

Confinement : comment le monde culturel va reprendre vie Confinement : comment le monde culturel va reprendre vie

Moto. Valentino Rossi annonce qu’il est positif à la Covid Moto. Valentino Rossi annonce qu’il est positif à la Covid

Coronavirus : la stratégie vaccinale présentée la semaine prochaine Coronavirus : la stratégie vaccinale présentée la semaine prochaine

Un candidat se paie Neymar — Barça Un candidat se paie Neymar — Barça

Policiers accusés de violences racistes : Darmanin se prononce Policiers accusés de violences racistes : Darmanin se prononce

Blessé, Zlatan Ibrahimovic ne jouera pas jeudi à Lille — Ligue Europa Blessé, Zlatan Ibrahimovic ne jouera pas jeudi à Lille — Ligue Europa

SUIVRE NOTRE JOURNAL

DERNIERES NOUVELLES CampDesrEcrues

AUTRES NOUVELLES

  • Science
  • Culture
  • Financer