Um novo relatório publicado por pesquisadores de segurança da vpnMentor revela que cerca de 350 mil usuários do Spotify tiveram seus dados violados. O banco de dados identificado pela empresa continha 72 GB de tamanho e estava desprotegido, permitindo que qualquer usuário pudesse acessá-lo.

Entre os dados vazados, foram identificados endereços de e-mail e credenciais de login como nomes de usuário e senhas. A descoberta foi feita em 3 de julho e informada ao Spotify no dia 9 de julho. A empresa teria entrado em contato com os usuários afetados entre os dias 10 e 21 do mesmo mês, pedindo que eles trocassem a senha de acesso.

A descoberta dos pesquisadores Noam Rotem e Ran Locar, no entanto, não se deu por uma falha no próprio serviço. Aproveitando vazamentos anteriores, os fraudadores usaram os dados de outras plataformas para acessar as contas do Spotify. A técnica, então, faz um cruzamento de dados de login e senha, já que muitas são reutilizadas.

“As empresas não podem evitar que isso ocorra, pois não controlam as senhas que os consumidores utilizam (e reutilizam) on-line”, diz o relatório. Os pesquisadores não puderam identificar quais eram as intenções dos criminosos com a base de dados. Tampouco se ela foi acessada, de fato, por outros usuários.

Reprodução

Fraudadores também podem se aproveitar de credenciais para usar serviço premium do Spotify gratuitamente. Imagem: vpnMentor/Divulgação

O impacto dos dados vazados

“Se você foi contatado pelo Spotify para alterar sua senha, sugerimos que siga as instruções”, disseram os pesquisadores. Eles também alertam que reutilizar senhas pode ser perigoso, já que eventualmente pode acabar expondo mais de uma credencial. Também recomendam alterar a senha em outras plataformas, caso a mesma tenha sido utilizada.

“Recomendamos o uso de um gerador de senha para criar senhas fortes e exclusivas para cada conta privada que você tiver”, dizem, lembrando que o ideal é sempre fazer a troca dessas senhas periodicamente.

O impacto da exposição dos dados pode ser variado. As informações podem ser usadas em esquemas criminosos “não apenas pelos fraudadores que o criaram, mas também por quaisquer hackers mal-intencionados que encontraram o banco de dados”.

A vpnMentor também relata que as informações vazadas podem ser usadas para identificar contas dos usuários em outras plataformas e redes sociais. Também, que as informações podem ser usadas para fraudes financeiras e roubo de identidade. Entre outros, os dados ainda podem ser usados em fraudes de phishing.