Des hackers ont mis la main sur près de 350 000 comptes Spotify. Ils étaient sur un serveur sans protection. N’importe qui pouvait y accéder, sans la nécessité d’entrer un mot de passe.
Il n’y a eu pas un piratage au niveau des serveurs de Spotify. Les hackers ont pu dérober les 350 000 comptes (gratuits et Premium) grâce à la méthode du « credential stuffing ». Cela signifie qu’ils ont récupéré des identifiants et mots de passe d’autres piratages pour les utiliser sur Spotify. Grâce à des scripts, ils arrivent à rapidement vérifier si les mêmes identifiants et mots de passe ont été utilisés sur Spotify. Et quand ça marche, il est possible de revendre les comptes pour quelques euros.
Sur les 350 000 comptes Spotify piratés, 47 456 appartiennent à des Français. Certains comptes sont gratuits, d’autres un abonnement Premium actif. C’est surtout ce type de compte qui intéressent les hackers.
Image Le Parisien
VPNMentor, à l’origine de la découverte des comptes piratés, a contacté Spotify au vu des comptes piratés. Le service de streaming a fait une vérification et a réinitialisé les mots de passe. Les utilisateurs présents dans la base de données doivent créer un nouveau mot de passe pour leur compte. Les données récupérées sont devenues inutiles à ce jour.
« La leçon pour l’utilisateur final est de ne pas recycler son mot de passe », a déclaré l’un des chercheurs en sécurité. « Éventuellement, l’un d’entre eux va être exposé ». C’est pour cette raison qu’il est conseillé d’utiliser un gestionnaire de mots de passe. Il en existe des gratuits (BitWardern, KeePass, Lastpass) et des payants (1Password, Enpass, Dashlane).
