Pesquisadores encontraram um banco de dados exposto na Internet com mais de 380 milhões de registros individuais, incluindo credenciais de login que foram usadas para acessar cerca de 350 mil contas do Spotify. Os registros expostos incluíam uma variedade de informações confidenciais, como nomes de usuário e senhas, endereços de e-mail e países de residência.

O tesouro escondido de dados foi armazenado em um servidor Elasticsearch indevidamente protegido e descoberto pela vpnMentor. A origem e os proprietários do banco de dados permanecem desconhecidos. No entanto, os pesquisadores conseguiram validar a veracidade dos dados entrando em contato com o Spotify, que confirmou que as informações haviam sido utilizadas para fraudar a empresa e seus usuários.

Veja mais: Golpe compromete dados de acesso de mais de 100 mil contas do Facebook

O Credential stuffing (preenchimento de credenciais, em tradução livre) é um ataque de sequestro de conta automatizado no qual os cibercriminosos usam bots para realizar tentativas de login por meio de credenciais de acesso roubadas em vazamentos de dados em outros sites. Dessa forma, os cibercriminosos tentam encontrar a combinação correta de dados de acesso "antigos" que funcionam em outras páginas web para obter acesso a contas. Geralmente, o uso da autenticação em dois fatores diminui as chances de que esse comprometimento de contas ocorra através desse tipo de ataque, mas o Spotify não conta com esse recurso.

A equipe de pesquisadores contatou a empresa sueca de streaming de música no último dia 09 de julho e recebeu uma resposta quase que imediata. Em onze dias, entre 10 e 21 de julho, o Spotify resolveu o problema e lançou uma redefinição de senha para todos os usuários afetados.

“Neste caso, o incidente não teve origem no Spotify. O banco de dados exposto pertencia a um terceiro que o estava usando para armazenar credenciais de login do Spotify. Esses dados de acesso provavelmente foram obtidos ilegalmente ou vazados através de outras fontes e reutilizados para realizar ataques de credential stuffing contra o Spotify”, explicaram os pesquisadores.

O sucesso contínuo dos ataques de credential stuffing pode ser atribuído, em grande parte, aos péssimos hábitos de uso de senhas. As pessoas costumam cometer muitos dos erros mais comuns ao criar e usar senhas, como a reutilização ou mesmo o compartilhamento de dados de acesso com outras pessoas. Para perceber a existência desses péssimos hábitos de higiene cibernética não é necessário ir muito longe, basta ver a lista das senhas mais comuns de 2020, que é encabeçada por verdadeiras joias como "123456" e "123456789".

Para proteger os dados confidenciais armazenados em suas contas, a primeira ação deve ser escolher uma senha única e segura, ou até mesmo usar uma frase como senha. Você também pode usar um gerenciador de senhas, uma ferramenta que fará todo o trabalho duro para você, como gerar senhas novas e fortes e armazená-las em um único lugar. Nesse caso, é necessário lembrar apenas de uma senha mestra para acessar a ferramenta.