Des comptes utilisateurs de Spotify exploités par des fraudeurs

Des chercheurs en cybersécurité travaillant pour la société VPNMentor ont remarqué et rapporté une faille concernant le service de streaming musical Spotify. Les spécialistes ont trouvé sur internet une base de données en libre accès de 72 Go. Cela équivaut à « plus de 380 millions d’enregistrements individuels ».

Hébergée sur un serveur Elasticsearch non sécurisé, la base de données contentait jusqu’à 400 000 comptes utilisateurs de la plateforme musicale. Si l’on en croit Le Parisien, une grande partie de ces comptes, à savoir 47 456 emails et mots de passe, appartient à des abonnés français.

Spotify sur un smartphone

Crédits: Pixabay

Contacté par VPNMentor en juillet dernier, Spotify a réagi en demandant aux utilisateurs concernés de réinitialiser leur mot de passe, rendant ainsi inutilisables les informations qui se trouvent dans la base de données.

Spotify n’est pas fautif

Dans un rapport publié mardi 24 novembre 2020, l’équipe de VPNMentor, dirigée par Noam Rotem et Ran Locar, indique que Spotify n’est pas responsable de cette fuite de données. «Nous avons rapidement établi que ce n’était pas une fuite ou un piratage venant de Spotify car cette base de données appartenait à des tiers qui avaient réussi à accumuler illégalement des emails et des mots de passe qui donnaient de vrais accès à ces comptes gratuits et premium », explique Ran Locar.

Après avoir étudié la question avec des responsables au sein de la plateforme musicale, les experts de VPNMentor ont pu conclure que les pirates informatiques avaient « probablement obtenu les identifiants de connexion d’un site externe et les avaient utilisés sur des comptes Spotify ».

Largement connue sous le nom de « credential stuffing », cette pratique devient de plus en plus courante en ces temps où beaucoup d’internautes utilisent le même mot de passe pour des comptes en ligne différents. Les cybercriminels n’ont plus qu’à utiliser des robots logiciels pour vérifier l’authenticité des comptes.

À lire aussi : Spotify va devenir plus pratique sur Apple Watch

L’identité des pirates non découverts

Les chercheurs en cybersécurité de VPNMentor n’ont pas pu définir l’identité du groupe qui a établi cette base de données en libre accès sur internet. En outre, ils n’ont trouvé aucune information exacte sur la manière de procéder des cybercriminels qui se cachent derrière la fraude.

L’équipe de Rotem et Locar a toutefois découvert que les pirates informatiques n’ont pas  vendu les identifiants et les mots de passé des comptes Spotify disponibles dans le fichier en question. Ils les auraient utilisés pour « booster artificiellement l’écoute de certains titres ».

Mots-clés spotify