Datos personales y de inicio de sesión de más de 350.000 usuarios de Spotify han sido descubiertos en una gran base de datos de 72 GB, con más de 38 millones de datos, que ha quedado expuesta en Internet, según la empresa vpnMentor.
Los usuarios que repiten sus contraseñas en diferentes plataformas digitales son el objetivo de los ciberdelincuentes que emplean la técnica del «relleno de credenciales»
Los investigadores de esta compañía han encontrado esta información en un servidor de búsquedas Elasticsearch, donde estaba disponible y sin cifrar, lo que permitía que cualquier persona pudiera acceder a ellos. Posiblemente los ciberdelincuentes que lo obtuvieron descuidaron proteger la información.
Se cree que los datos fueron obtenidos a través de una técnica llamada «credential stuffing» que en español significa «relleno de credenciales» y consiste en tomar nombres de correos y claves de otras plataformas, aplicaciones o sitios web que ya han sido expuestas en Internet, y que los piratas informáticos van probando hasta encontrar las que coincidan con las de inicio de sesión en Spotify.
Aunque puede parecer una labor ardua para los hackers, no lo es tanto, porque son muchos los usuarios que repiten o «reutilizan» una misma contraseña para diferentes servicios online. Por eso siempre se recomienda cambiarlas habitualmente y no emplear la misma contraseña para distintas plataformas online, porque si una queda al descubierto, quedarían comprometidos también el resto de los servicios.
Entre la información recopilada de usuarios de Spotify destacan nombres de usuario, contraseñas de las cuentas, corres electrónicos y países de residencia. Incluso se encontraron varias direcciones IP pero se cree que son de los servidores proxy pertenecientes a los operadores de la red donde son alojados los datos.
Spotify ha sido notificada de lo sucedido y ha reestablecido las cuentas e inicio de sesión de los usuarios afectados. Además, les ha enviado un correo para que cambien sus credenciales de inicio y les ha recomendado que utilicen una contraseña completamente diferente, no solo a la anterior, sino a la de otras plataformas digitales que poseen.
Aunque controlar que un usuario no repita una misma contraseña en diferentes cuentas es difícil, Spotify se ha puesto en contacto con sus usuarios a través de un correo electrónico indicando lo que ha ocurrido y recomendándoles que no repitan contraseñas.
Por su parte, vpnMentor, ha recomendado que los usuarios afectados también accedan a sus cuentas en otros servicios online e inmediatamente cambien las claves de inicio de sesión, porque los datos siguen expuestos. También, ha aconsejado que a la hora de crear una contraseña se utilicen generadores de claves aleatorias y se recurran a sistemas evaluadores de contraseñas para conocer el nivel de dificultad que poseen antes de usarlas definitivamente.
