Les données ont été compilées de manière détournée. Les mots de passe des utilisateurs affectés ont depuis été réinitialisés.
Les chercheurs en sécurité de VPNMentor ont révélé avoir mis la main, en juillet dernier, sur un serveur ElasticSearch en accès libre qui hébergeait les données de plus de 300 millions d’utilisateurs Spotify.
Y figuraient notamment les noms d’utilisateurs, les mots de passe, les adresses e-mail et les lieux de résidence. Au total, ces données représentaient un volume de 72 Go. VPNMentor a pu confirmer que les identifiants étaient véridiques.
Alerté par VPNMentor, Spotify, qui compte plus de 320 millions d’utilisateurs actifs dans le monde, a indiqué ne pas avoir été victime d’intrusion. Ces données appartenaient donc probablement à des pirates qui les ont collectés par des voies détournées.
Elles proviennent sans doute de vols précédents et ont été compilées pour cibler spécifiquement des utilisateurs Spotify. Une telle collecte d’identifiants de connexion est possible, car beaucoup d’internautes réutilisent les mêmes mots de passe sur des services différents.
L’utilité d’une telle base est multiple. Elle permet de vendre des accès illicites à des comptes Premium. Elle permet également de réaliser des attaques de phishing. Spotify a depuis réinitialisé les mots de passe de tous les utilisateurs affectés.