Spotify, oltre 300 mila account del servizio di musica in streaming violati e compromessi
Diversi hacker hanno utilizzato le credenziali presenti su un enorme database online per tentare l'accesso sugli account Spotify di utenti ignari. La procedura avrebbe avuto successo su circa 300 mila account del servizio di musica in streaming
di Nino Grasso pubblicata il 24 Novembre 2020, alle 12:11 nel canale Audio VideoSpotify
Diversi hacker avrebbero ottenuto l'acesso a oltre 300 mila account Spotify utilizzando un database di 380 milioni di record contenente credenziali di accesso e informazioni personali raccolte da varie fonti. Per anni, gli utenti si sono lamentati del fatto che i loro account Spotify venissero violati e le password modificate, o che nei piani familiari venissero aggiunti nuovi utenti estranei o ancora che l'elenco delle playlist venisse cambiato senza alcuna interazione o autorizzazione. E VPNMentor scrive che ha scoperto i metodi utilizzati dagli hacker.
Nel nuovo report la fonte descrive nel dettaglio i metodi utilizzati dai cybercriminali per accedere a centinaia di migliaia di account attingendo dal database di cui parlavamo sopra, pubblicamente disponibile online e contenente centinaia di milioni di voci relative alle credenziali di accesso degli utenti e altri dati. Il database viene utilizzato attivamente per hackerare gli account da tempo, con la fonte che descrive alcune delle modalità utilizzate dai malfattori per penetrare nelle difese del servizio di streaming musicale.
Un database da 380 milioni di voci usato per hackerare gli account Spotify
Uno degli attacchi utilizzati più comunemente per hackerare gli account è attraverso il cosiddetto "credential stuffing", ovvero quando gli autori delle minacce fanno uso di grandi raccolte di dati trapelati in precedenti breach di sicurezza su altre piattaforme online. Queste raccolte contengono in alcuni casi le combinazioni di nomi utente e password usate su altri servizi, ma spesso gli utenti utilizzano - sbagliando - le stesse credenziali per accedere su diversi servizi online.
In questo modo, utilizzando le credenziali rubate su un servizio "x" (magari messo in sicurezza in passato con un cambio password), l'hacker può accedere ad un servizio "y" con gli stessi dati semplicemente cercando di usare i primi sul secondo servizio. Ogni record del database descritto da VPNMentor contiene un nome utente (o nello specifico un indirizzo e-mail), una password, e una voce che delinea le possibilità di successo se usata per eseguire l'accesso su Spotify.
Non è noto ancora come siano stati raccolti le 300 milioni di voci del database, ma è probabile che sia una collezione di diverse violazioni precedenti rilasciate sul web in forma gratuita. I ricercatori ritengono che i record elencati nel database abbiano consentito agli aggressori di violare da 300 mila a 350 mila account Spotify. VPNMentor ha inoltre contattato Spotify il 9 luglio scorso in merito al database esposto e ha ricevuto una risposta lo stesso giorno.
Spotify ha avviato un "rolling reset" delle password per tutti gli utenti coinvolti, sostiene VPNMentor, quindi di conseguenza le informazioni presenti nel database dovrebbero essere oggi obsolete e inefficaci. L'azienda ha inoltre ripristinato le password su tutti gli account compromessi, ma ci si aspetta che introduca modalità d'accesso più sicure per rendere questo tipo di attacchi molto meno efficace. Ad esempio, Spotify non supporta ancora l'autenticazione a più fattori, nonostante sia stato richiesto per lunghi periodi di tempo da una moltitudine dei suoi utenti.
10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoCapisco che questo sia il metodo più sensato però, diciamocelo, quando bazzicavo su internet nei primi anni 2000 avevo un numero di account talmente limitato da poterli contare con due mani, nel 2020 ormai si è costretti ad avere decine e decine di account, non se ne può più! Uno non può ricordarsi a memoria decine di password diverse e sta diventando un grandissimo casino!
O trovano il modo di creare un generatore di password che vada in base ai dati biometrici o qui si rischia veramente di farci uscire pazzi; è come per le tessere, ne avrò nel portafogli più di 10! Cribbio, ci siamo tolti dalle balle i cash e no, niente comodità di avere meno roba dietro, adesso ci vuole una valigia solo per le tessere
O trovano il modo di creare un generatore di password che vada in base ai dati biometrici o qui si rischia veramente di farci uscire pazzi; è come per le tessere, ne avrò nel portafogli più di 10! Cribbio, ci siamo tolti dalle balle i cash e no, niente comodità di avere meno roba dietro, adesso ci vuole una valigia solo per le tessere
Ehm... provare stocard?
Davvero, ora vogliono che ti crei un'account su tutto, infatti è una rottura.
O trovano il modo di creare un generatore di password che vada in base ai dati biometrici o qui si rischia veramente di farci uscire pazzi; è come per le tessere, ne avrò nel portafogli più di 10! Cribbio, ci siamo tolti dalle balle i cash e no, niente comodità di avere meno roba dietro, adesso ci vuole una valigia solo per le tessere
KeePass o programmi simili ?
Link ad immagine (click per visualizzarla)
O trovano il modo di creare un generatore di password che vada in base ai dati biometrici o qui si rischia veramente di farci uscire pazzi; è come per le tessere, ne avrò nel portafogli più di 10! Cribbio, ci siamo tolti dalle balle i cash e no, niente comodità di avere meno roba dietro, adesso ci vuole una valigia solo per le tessere
Ti capisco, poco tempo fa mi arrivò una mail in cui mi minacciavano che in caso non avessi pagato una certa cifra avrebbero messo delle mie foto compromettenti prese dalla fotocamera frontale dello smartphone, come prova del fatto che stavano facendo sul serio c'era una delle mie password.
Ora la password in questione era una di quelle che usavo proprio nei primi anni 2000 e poi verificando bene la cosa risultò essere quella che rubarono bucando uno store di elettronica e per di più io, essendo fieramente paranoico, ho sempre coperto le fotocamere frontali col nastro isolante nero.
Liquidai tutto con grasse risate e una mail di insulti ma presi la questione come monito e mi misi ad aggiornare tutte le password con tanto, dove possibile, di doppio passaggio di autenticazione.
Adesso se rompo il telefono e il pen drive dove ho il codice dello smartlock si folgora posso anche suicidarmi.
era una semplice constatazione, effettivamente non c'è un sito che non ti chieda un'account, senza vederci per forza dietrologismi di sorta .
Anzi, per quel che mi riguarda, l'unica vera rottura è crearmi un'account ogni volta. Quindi se non è una cosa fondamentale, lascio stare.
Anzi, per quel che mi riguarda, l'unica vera rottura è crearmi un'account ogni volta. Quindi se non è una cosa fondamentale, lascio stare.
Lo so, era un flame a c++*o
Io uso ormai da anni un gestore password. Quando c'è da creare un account su qualche sito, genero una password direttamente nel programma e salvo le credenziali. Autocompletamento su tutti i dispositivi e password sincronizzate tra tablet, smartphones e pc.
Francamente impossibile fare senza, sopratutto volendo differenziare le password di ogni account senza usare sempre le solite.
lo avevo capito sicuramente con altri utenti potevi beccare il bersaglio
Per quel che mi riguarda la PSW è l'ultimo dei miei pensieri, non credo di aver utilizzato mai le stesse.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".