Se descubrió una base de datos de usuarios de Spotify disponible públicamente. Ciberdelincuentes atacaron a los usuarios de Spotify utilizando esta base realizando ataques de sustitución de credenciales.

VpnMentor descubrió una base de datos abierta de Elasticsearch que contiene más de 380 millones de registros, incluidas credenciales y otros datos confidenciales. Los atacantes utilizan estos datos para y atacaron a los usuarios de Spotify para obtener acceso a sus cuentas. El tamaño de la base de datos es de 72 GB. Contiene nombres de usuarios, contraseñas, direcciones de correo electrónico y países de residencia.

La base de datos es propiedad de un tercero y se utiliza para almacenar las credenciales de los usuarios de Spotify, probablemente obtenidas ilegalmente o filtradas de otros recursos. Su origen y método de ataque aún se desconocen.

Los investigadores se pusieron en contacto con el servicio y Spotify comenzó el proceso de restablecimiento de contraseña. El ataque afectó a unos 300-350 mil usuarios, una parte relativamente pequeña de los 299 millones de audiencia mensual del servicio.

Los investigadores dijeron que la base de datos podría usarse para algo más que ataques de sustitución de credenciales. Además, la base de datos puede ser utilizada no solo por sus creadores, sino también por otros ciberdelincuentes que la descubrieron. Los atacantes pueden utilizar información de identificación personal para identificar a los usuarios a través de las redes sociales y crear sus perfiles con el fin de llevar a cabo fraudes financieros o robo de identidad.

Se recomienda a los usuarios que usan una contraseña para iniciar sesión en Spotify en otros servicios que también cambien su contraseña allí.