Um banco de dados com mais de 350 mil contas verificadas de usuários do Spotify foi encontrado em um servidor online e sem senha. A lista, com cerca de 72GB, foi encontrada por Noam Rotem e Ran Locar, pesquisadores de segurança da vpnMentor.
- TSE assume que ataque de DDoS derrubou app e-Título durante as eleições
- Funcionários do mercado financeiro têm acesso a uma média de 11 milhões de arquivos da empresa
- O dia que o TSE revelou o código da urna: a história de Diego Aranha
De acordo com os pesquisadores, cibercriminosos utilizaram técnicas de preenchimento de credenciais (credential stuffing) para compilar um banco de dados com nomes de usuário e senha verificados, além de e-mail e país de residência. Um total de 380 milhões (mais de 72GB) de registros separados, que estava hospedado em um servidor Elasticsearch desprotegido.
Credencial stuffing, ou preenchimento de credenciais é um ataque simples no qual um cibercriminoso tenta logar em diversos sistemas com a mesma senha que vazou de determinado serviço. Isso afeta somente as pessoas que utilizam a mesma senha para diversos serviços online. Por exemplo: se por um acaso vazar suas credenciais de acesso de determinado serviço e você utiliza a mesma senha (ou muito parecida) para entrar em outros sites, apps ou sistemas, os cibercriminosos podem tentar usar essa senha vazada para acessar outros serviços.
Nesse caso, cibercriminosos se apropriaram de vazamentos antigos para montar uma lista de usuários que utilizam a mesma senha vazada para o Spotify. Ou seja, não foram exploradas vulnerabilidades no app do Spotify. A lista foi construída com base em outros vazamentos e foi encontrada online, sem senha, disponível para qualquer um com acesso à internet.
“O incidente não teve origem no Spotify. O banco de dados exposto pertencia a um terceiro que o estava usando para armazenar credenciais de login do Spotify. Essas credenciais provavelmente foram obtidas ilegalmente ou potencialmente vazadas de outras fontes que foram reaproveitadas para ataques de preenchimento de credenciais contra o Spotify”, dizem os pesquisadores em post no blog da empresa.
Os pesquisadores informam que entraram em contato com o Spotify, que iniciou uma 'redefinição contínua' de senhas para todos os usuários afetados, anulando as informações expostas. Além de que, normalmente, esse problema não é de responsabilidade das empresas, já que não podem controlar como usuários criam suas senhas. “As empresas não podem evitar que isso ocorra, pois não controlam as senhas que os consumidores utilizam (e reutilizam) online”, comentam os pesquisadores.
O banco de dados foi encontrado completamente desprotegido e não criptografado em uma varredura web de rotina da empresa. “Fomos capazes de acessá-lo [banco de dados] por meio do navegador e manipular os critérios de pesquisa de URL para expor esquemas de um único índice a qualquer momento”.
No relatório, os pesquisadores informam que não há como saber quem acessou os dados e discutem também sobre os potenciais impactos de um incidente como esse, que se resume a fraude financeira; roubo de identidade; ataques de malware e phishing.
Fonte: vpnMentor.