Spotify : les mots de passe de 350 000 comptes ont été piratés

Spotify a réinitialisé les mots de passe de 350 000 comptes apparus dans une base de données piratées. Identifiée récemment par des chercheurs en cybersécurité, elle contenait 72 Go de données, soit 380 millions de documents. 47 000 internautes français sont concernés par cette importante fuite de données. 

Noam Rotem et Ran Locar, chercheurs en sécurité informatique chez VPN Mentor, ont découvert par hasard une base de données contenant entre 300 000 et 350 000 identifiants Spotify, rapportent nos confrères du Parisien. “Nous avons rapidement établi que ce n'était pas une fuite ou un piratage venant de Spotify car cette base de données appartenait à des tiers qui avaient réussi à accumuler illégalement des emails et des mots de passe qui donnaient de vrais accès à ces comptes gratuits et premium” explique Ran Locar, coauteur du rapport de VPN Mentor.

Ces identifiants ont été collectés par des pirates grâce à une méthode encore inconnue. Néanmoins, les chercheurs imaginent que les données ont été obtenues par “des attaques de credential stuffing contre Spotify “. Concrètement, les hackers utilisent les informations déjà en leur possession pour deviner les mots de passe des comptes de leur victime.

Sur le même sujet : Spotify augmente le prix de l’abonnement Premium

4 millions de dollars de comptes Spotify

Par exemple, ils vont utiliser vos identifiants Facebook ou Twitter pour tenter de pénétrer dans votre compte Spotify ou PayPal. 59% des internautes utilisent en effet le même mot de passe pour tous leurs comptes, souligne une étude de Lab42 publiée en 2017. Pour accélérer les choses, ils s'appuient sur des botnets qui vont tester des milliers des combinaisons en un temps record.

Bien souvent, les pirates visent juste et obtiennent un accès au compte Spotify. Les identifiants et mots de passe peuvent alors être revendus sur des marchés noirs du dark web. Un compte Spotify Premium se monnaie autour de 10 dollars. Au total, la base de données avait une valeur marchande de 4 millions de dollars. Dans ce cas-ci, les pirates ne commercialisaient pas les identifiants. Les donnée étaient plutôt utilisées pour “gonfler artificiellement les lectures de titres de certains artistes”. Ils vendaient ce service visant à booster les nombre d'écoutes au plus offrant.

Alerté par VPN Mentor le 9 juillet dernier, Spotify a lancé la réinitialisation de tous les mots de passe apparus dans la base de données. Tous les utilisateurs concernés ont été invités à changer leurs identifiants par sécurité. De facto, “les informations contenues dans la base de données deviennent inutiles”, rassure le géant du streaming musical. Pour éviter les mauvaises surprises, on vous conseille de choisir un bon mot de passe qui soit vraiment sécurisé.

Source : Le Parisien