Reuso de senhas acaba comprometendo 350 mil perfis de usuários do Spotify

Cerca de 350 mil assinantes do Spotify tiveram suas contas comprometidas por criminosos cibernéticos — mas calma lá, a plataforma de streaming de músicas não sofreu um vazamento de dados. A culpa de tal exposição indevida, desta vez, não foi culpa da companhia, mas sim dos próprios usuários, que estavam utilizando no serviço a mesma combinação de login e senha empregada em algum outro site na web — este sim, invadido.

• Ainda usa senhas fáceis? Estas são algumas das piores combinações de 2020
• Como agir após cair em um golpe cibernético?
• Engenharia social: o que é e como não ser vítima?

O que aconteceu foi o seguinte: um grupo de criminosos cibernéticos usou uma técnica chamada credential stuffing, que nada mais é do que a tentativa de reutilizar credenciais vazadas por outro serviço online qualquer para entrar em contas de uma outra plataforma online. Como vários internautas (infelizmente) usam o mesmo e-mail e a mesma senha para entrar em todos os sites que utilizam diariamente, a técnica costuma ser eficaz.

No caso, os meliantes se apossaram de algum banco de dados vazado e começaram a testar as credenciais no app de músicas, obtendo sucesso em adentrar em 350 mil perfis de pessoas que reutilizavam a sua própria password. Essas combinações funcionais foram então compiladas e armazenadas em um servidor web desprotegido — o que significa que qualquer internauta poderia encontrá-las e utilizá-las à vontade.

O alerta foi emitido pelos pesquisadores Ran Locar e Noam Rotem, que são especializados em vasculhar a web para encontrar dados expostos. “A lição para o usuário final é: não recicle sua senha. Eventualmente, uma delas será exposta”, afirmou Locar em um relatório publicado no site vpnMentor. Os especialistas notificaram a empresa de hospedagem para que a coleção de dados fosse retirada do ar.

Vale ouro!

Por mais que elas não carreguem dados sensíveis, contas do Spotify são preciosas para os criminosos cibernéticos por dois motivos. O primeiro — e mais óbvio — é a revenda: após sequestrar um perfil dotado de cartão de crédito e com assinatura premium para o serviço, os meliantes comercializam tais credenciais para terceiros a preços muito mais acessíveis em comparação com os valores cobrados mensalmente pela plataforma.

Além disso, esses perfis roubados podem ser utilizados como uma rede de bots (robôs) para impulsionar determinada música ou álbum do serviço, ordenando-os a reproduzirem de forma massiva aquele conteúdo mediante pagamento do artista. Trata-se, obviamente, de uma prática fraudulenta para ambas as partes e que já está sendo considerada uma tendência muito perigosa pela indústria da música dos Estados Unidos.

De qualquer forma, após receber a notificação de Ran e Noam, o Spotify requisitou um reset de senha forçado para todos os usuários afetados. Investigações estão em andamento para determinar os responsáveis pela manobra criminosa.

Fonte: CNET