Um banco de dados com mais de 350.000 contas de usuário Spotify verificadas encontradas em um servidor online sem senha. A lista, de cerca de 72 GB, foi encontrada por Noam Rotem e Ran Locar, pesquisadores de segurança da vpnMentor.
De acordo com os pesquisadores, os cibercriminosos usaram técnicas de enchimento de credenciais para compilar um banco de dados com nome de usuário e senha verificados, além de e-mail e país de residência. Um total de 380 milhões (mais de 72 GB) de registros separados, que foram hospedados em um servidor Elasticsearch desprotegido.
O enchimento de credenciais, ou preenchimento de credenciais, é um ataque simples no qual um cibercriminoso tenta se conectar a vários sistemas com a mesma senha que vazou de um serviço específico. Isso afeta apenas pessoas que usam a mesma senha para diferentes serviços online. Por exemplo: se você acidentalmente vazar suas credenciais de acesso para um serviço específico e usar a mesma senha (ou muito semelhante) para fazer login em outros sites, aplicativos ou sistemas, os cibercriminosos podem tentar usar essa senha vazada para acessar outros serviços.
Banco de dados de amostra publicado por vpnMentor. Foto: Reprodução vpnMentor.
Nesse caso, os cibercriminosos se apropriaram de vazamentos antigos para construir uma lista de usuários que usam a mesma senha vazada para o Spotify. Ou seja, nenhuma vulnerabilidade foi explorada no aplicativo Spotify. A lista foi construída com base em outros vazamentos e encontrada online, sem senha, disponível para qualquer pessoa com acesso à internet.
“O incidente não teve origem no Spotify. O banco de dados exposto pertencia a um terceiro que o estava usando para armazenar credenciais de login do Spotify. Essas credenciais provavelmente foram obtidas ilegalmente ou potencialmente vazadas de outras fontes que foram reutilizadas para ataques de preenchimento de credenciais contra o Spotify ”, afirmam os pesquisadores em um post no blog da empresa.
Os pesquisadores relatam que entraram em contato com o Spotify, que iniciou uma ‘redefinição contínua’ de senhas para todos os usuários afetados, cancelando as informações expostas. Além disso, esse problema geralmente não é de responsabilidade das empresas, pois elas não podem controlar como os usuários criam suas senhas. “As empresas não podem evitar que isso aconteça, pois não controlam as senhas que os consumidores usam (e reutilizam) online”, comentam os pesquisadores.
O banco de dados estava completamente desprotegido e não criptografado em uma varredura de rotina da Web da empresa. “Conseguimos acessá-lo [banco de dados] por meio do navegador e manipular os critérios de pesquisa de URL para expor esquemas de índice único a qualquer momento”.
No relatório, os pesquisadores relatam que não há como saber quem acessou os dados e também discutem os potenciais impactos de um incidente como esse, que se resume em fraude financeira; Roubo de identidade; malware e ataques de phishing.
Fonte: vpnMentor.
Veja a postagem original em: https://thehack.com.br/spotify-mais-de-350-mil-contas-foram-encontradas-em-banco-de-dados-desprotegido/?rand=48873