Skip to main content

Plusieurs centaines de milliers de comptes Spotify ont été piratés - voici ce que vous devez savoir

spotify
(Crédit photo: George Dolgikh / Shutterstock.com)

Si vous êtes un abonné régulier de Spotify, vous avez certainement été invité à vérifier la sécurité de votre compte et, éventuellement, à modifier votre mot de passe - ce, suite à une cyber-attaque massive sur le service de streaming musical.

La plateforme aurait été victime d'une attaque de type « credential stuffing », celle-ci consistant à saisir automatiquement des millions de combinaisons identifiant / mot de passe obtenus via des outils standards comme Selenium ou PhantomJS. A terme, ces tentatives répétées peuvent donner aux hackers responsables un accès direct à quelques millions de profils.

Réinitialiser votre compte Spotify ne suffit pas

Un rapport de VPNMentor a mis en évidence la manière dont une base de données contenant plus de 380 millions de combinaisons est utilisée aujourd’hui pour pirater à la fois l’application mobile et le site web de Spotify. Elasticsearch, la base de données en question, contiendrait près de 72 Go de noms d’utilisateur, d’adresses électroniques et de mots de passe appartenant aux membres Spotify.

La manière dont la base de données a été compilée n'est pas claire, mais ces ressources sont généralement rassemblées à la suite de violations majeures issues de cyber-attaques antérieures, avant d'être diffusées gratuitement ou contre paiement sur le Dark Web.

VPNMentor a noté que la base de données s’avérait « intégralement insécurisée et non cryptée », de telle manière qu’il est facile pour n’importe quel cybercriminel initier de s’emparer des données enregistrées en « manipulant les critères de recherche d’URL pour en exposer l’index à tout moment ».  Le service aurait averti Spotify des faits depuis le 9 juillet.

Spotify a lancé une « réinitialisation progressive » des mots de passe utilisateurs. En conséquence, les informations contenues dans la base de données Elasticsearch s’annulent et deviennent inutiles. Spotify a ajouté que tous les comptes compromis ont été invités à réinitialiser leur mot de passe en juillet, et récemment pour ceux qui n’auraient encore opéré aucun changement. Il a de même été conseillé aux abonnés Spotify d’éditer tout accès aux web-services et applications exploitant les mêmes combinaisons login / mot de passe que la plateforme audio.

Via Bleeping Computer