0
0
Esta é a terceira brecha nas últimas semanas para o serviço de streaming mais popular do mundo.
O Spotify alertou os usuários de que alguns de seus dados de registro foram inadvertidamente expostos a um parceiro de negócios de terceiros, incluindo endereços de e-mail, nomes de exibição preferidos, senhas, sexo e datas de nascimento. Esta é pelo menos a terceira violação em menos de um mês para o maior serviço de streaming do mundo.
Uma declaração do Spotify sobre o incidente disse que a exposição foi devido a uma vulnerabilidade de software que existia de 9 de abril a 12 de novembro, quando foi corrigida.
“Levamos qualquer perda de informações pessoais muito a sério e estamos tomando medidas para ajudar a proteger você e suas informações pessoais”, diz o comunicado, divulgado em 9 de dezembro. “Realizamos uma investigação interna e contatamos todos os nossos parceiros de negócios que podem ter tido acesso às informações da sua conta para garantir que quaisquer informações pessoais que possam ter sido inadvertidamente divulgadas a eles foram excluídas.”
Alvo do Spotify
O anúncio vem apenas alguns dias depois que algumas das páginas de estrelas mais populares do serviço de streaming foram tomadas por um ator malicioso chamado “Daniel” que usou páginas de artistas sequestrados do Spotify, incluindo Dua Lipa e Pop Smoke, para proclamar seu amor por Trump e Taylor Swift. O incidente durante seu anúncio de fim de ano altamente divulgado no Spotify Wrapped 2020 dos streamings mais populares do ano.
Apenas uma semana antes desse incidente, no final de novembro, spotfiy estava recebendo uma onda de aquisições de contas após uma operação de enchamento de credenciais. Nesse tipo de ataque, atores de ameaças apostam em pessoas reutilizando senhas; eles tentam senhas e IDs roubados em diferentes serviços para obter acesso a uma série de contas.
Pesquisadores da vpnMentor encontraram um banco de dados de pesquisa Elástica aberto e vulnerável com mais de 380 registros de usuários do Spotify, incluindo credenciais de login.
“O banco de dados exposto pertencia a um terceiro que o estava usando para armazenar credenciais de login do Spotify”, disse a empresa. “Essas credenciais provavelmente foram obtidas ilegalmente ou potencialmente vazadas de outras fontes.”
No momento dessa violação, o Spotify iniciou a redefinição de senha de rolamento, deixando o banco de dados inútil.
Recheio de Spotify e Credenciais
Agora, os dados do usuário do Spotify foram expostos novamente.
“Um subconjunto muito pequeno de usuários do Spotify foi impactado por um bug de software, que agora foi corrigido e endereçado.” Uma declaração de um porta-voz do Spotify ao Threatpost foi lida. “Proteger a privacidade de nossos usuários e manter sua confiança são prioridades no Spotify. Para resolver esse problema, emitimos uma redefinição de senha para usuários impactados. Levamos essas obrigações extremamente a sério.”
A empresa insta os usuários a atualizar senhas para outras contas vinculadas à mesma conta de e-mail.
“Mais uma vez, embora não estejamos cientes de qualquer uso não autorizado de suas informações pessoais, como medida de precaução, encorajamos você a permanecer vigilante monitorando sua conta de perto”, acrescentou o comunicado do Spotify. “Se você detectar qualquer atividade suspeita em sua conta do Spotify, você deve nos notificar prontamente.”
Kacey Clark, pesquisadora de ameaças da Digital Shadows, disse ao Threatpost que esses tipos de roubo de dados básicos são exatamente o que atores mal-intencionados precisam para lançar um ataque de enmento de credenciais.
“A força bruta, as ferramentas de quebra e os verificadores de contas são os pilares de muitas operações de aquisição de contas, permitindo que os invasores possuam as mãos ainda mais de seus dados.” Clark explicou ao Threatpost. “São scripts ou programas automatizados aplicados a um sistema de login – seja ele associado a uma API ou site – para acessar a conta de um usuário.”
Uma vez dentro, há pouco limite para a quantidade de danos que hackers poderiam potencialmente infligir às vítimas.
“Operações criminosas usando ferramentas de cracking de força bruta ou verificadores de contas também podem aproveitar endereços IP, serviços de VPN, botnets ou proxies para manter o anonimato ou melhorar a probabilidade de acessar uma conta”, acrescentou Clark. “Uma vez dentro, eles podem usar a conta para fins maliciosos ou extrair todos os seus dados (potencialmente incluindo detalhes do cartão de pagamento ou informações pessoalmente identificáveis) para monetizá-la.”
Ela pontuou o ponto com as descobertas da pesquisa do Digital Shadows de que os serviços de streaming representavam 13% das contas listadas em mercados criminosos.
“No final, você prefere pagar US$ 10 por mês por mais um serviço de streaming, ou pagar US$ 5 pelo acesso vitalício?”, perguntou ela.
Serviços de streaming direcionados
Os serviços de mídia e streaming são alvos bem conhecidos de ataques de encha de credenciais. A Akamai identificou recentemente o risco de ataques de enmento de credenciais para provedores de conteúdo como o Spotify.
“Os hackers são muito atraídos pelo alto perfil e valor dos serviços de streaming online”, segundo a empresa. No relatório mais recente da Akamai sobre o estado da segurança da indústria da mídia,descobriu-se que 20% dos 88 bilhões de ataques observados de enmento de credenciais no último ano foram direcionados a empresas de mídia.
“Enquanto tivermos nomes de usuário e senhas, teremos criminosos tentando comprometê-los e explorar informações valiosas”, explicou o pesquisador da Akamai Steve Ragan. “O compartilhamento e a reciclagem de senhas são facilmente os dois maiores fatores contribuintes em ataques de enmento de credenciais.”
E embora as boas proteções por senha sejam uma maneira inteligente de os consumidores protegerem seus dados, Ragan enfatizou que são as empresas que precisam tomar medidas proativas para aumentar a segurança e manter a confiança dos consumidores.
“Embora educar os consumidores sobre uma boa higiene credencial seja fundamental para combater esses ataques, cabe às empresas implantar métodos de autenticação mais fortes e identificar a mistura certa de tecnologia, políticas e conhecimentos que podem ajudar a proteger os clientes sem afetar negativamente a experiência do usuário.”
FONTE: THREATPOST