Solo un paio di mesi dopo l’incidente alla sicurezza delle informazioni che ha colpito migliaia di utenti Spotify, la piattaforma di streaming musicale ha confermato il rilevamento di un nuovo attacco di credential stuffing, che ha portato a un massiccio ripristino delle password come misura di sicurezza di emergenza. Va notato che in un attacco di credential stuffing, i criminali informatici creano software per tentare di accedere automaticamente agli account online utilizzando indirizzi e-mail e password trapelati in precedenti incidenti di sicurezza.
A metà novembre 2020, un gruppo di hacker malintenzionati ha cercato di compromettere gli account di migliaia di utenti di Spotify tramite questa variante di attacco. Sebbene l’incidente sia stato risolto immediatamente dai team di sicurezza di Spotify, gli sviluppatori della piattaforma non potevano prevedere che un nuovo attacco fosse in arrivo.
Questa settimana, lo specialista della sicurezza informatica Bob Diachenko ha segnalato la scoperta di un nuovo database trapelato con oltre 100.000 record appartenenti agli utenti di Spotify; Diachenko ha informato l’azienda della sua scoperta, che ha confermato l’autenticità di questi record: “Abbiamo recentemente implementato alcuni meccanismi di sicurezza per proteggere i nostri utenti da un attacco di credential stuffing. Rilevando il rischio potenziale, abbiamo deciso di reimpostare le password di tutti gli utenti potenzialmente interessati, invalidando le credenziali trapelate”, ha affermato la piattaforma di streaming.
I team di sicurezza di Spotify ritengono che entrambi gli attacchi condividano cause simili. Nell’incidente di novembre, gli investigatori hanno trovato un database in Elasticsearch con una configurazione scadente; questo database conteneva più di 300 milioni di record, comprese credenziali di accesso valide per account Spotify, il database era gestito da una terza parte dannosa.
L’attacco di questa settimana è molto simile, dal momento che il database utilizzato dagli hacker era ospitato anche in una struttura di Elasticsearch, afferma Diachenko. Queste informazioni sarebbero state raccolte da altri incidenti di sicurezza.
Sebbene la compromissione di un account Spotify possa non avere gravi conseguenze per gli utenti, i veri problemi potrebbero venire in seguito: “Per coloro che utilizzano la stessa password su più di una piattaforma online, il furto delle credenziali di accesso di Spotify potrebbe compromettere i loro account di posta elettronica, i social media, le attività piattaforme e persino conti bancari online” aggiunge Diachenko.
Il ricercatore conclude menzionando che il modo migliore per proteggerci da un potenziale attacco di credential stuffing è semplicemente utilizzare una password univoca per ciascuna piattaforma online sotto il nostro controllo, nonché implementare meccanismi di protezione aggiuntivi come l’autenticazione a più fattori e la sicurezza OTP.