Spotify restablece algunas contrase├▒as de cuentas citando ┬źactividad sospechosa┬╗

Spotify, notific├│ a un n├║mero no especificado de usuarios que la compa├▒├şa ha restablecido las contrase├▒as de cuentas, pero dej├│ a docenas de usuarios preguntando por qu├ę.

En un correo electr├│nico, a algunos usuarios de Spotify se les dijo que las contrase├▒a de cuentas se hab├şan restablecido ┬źdebido a una actividad sospechosa detectada┬╗, pero no dio m├ís detalles.

https://twitter.com/NonoGerrard/status/1130868993076547584

Contrase├▒as de cuentas restablecidas

Cuando fue contactado, el portavoz de Spotify, Peter Collins, dijo: ┬źComo parte de nuestros esfuerzos de mantenimiento continuo para combatir la actividad fraudulenta en nuestro servicio, recientemente compartimos una comunicaci├│n con usuarios seleccionados para restablecer sus contrase├▒as de cuentas como medida de precauci├│n. Como pr├íctica recomendada, recomendamos encarecidamente a los usuarios que no usen las mismas credenciales en diferentes servicios para protegerse┬╗.

En otras palabras, Spotify dice que esto es un ataque de relleno de credenciales, donde los piratas informáticos toman listas de nombres de usuario y contraseñas de otros sitios violados y forzan su acceso a otras cuentas.

Nos contactamos con varias personas que recibieron el mensaje de restablecimiento de correo electr├│nico. Algunos usaron la misma contrase├▒a en diferentes sitios web y otros usaron contrase├▒as exclusivas de Spotify. Dos personas que comentaron en este hilo de Hacker News tambi├ęn dijeron que sus contrase├▒as eran ├║nicas, lo que arrojaba dudas sobre la veracidad de un ataque de relleno de credenciales.

No es raro que las empresas restablezcan las contrase├▒as de los usuarios si creen que son d├ębiles o f├íciles de adivinar. Las empresas generalmente no almacenan las contrase├▒as de los usuarios en texto plano. En su lugar, codifican las contrase├▒as utilizando un algoritmo de hash. Al codificar las listas de contrase├▒as d├ębiles o robadas utilizando el mismo algoritmo, las empresas pueden comparar contrase├▒as d├ębiles con sus propias bases de datos y enviar de forma proactiva correos electr├│nicos de restablecimiento de contrase├▒as.

Netflix, Facebook y Spotify tambi├ęn han restablecido de forma proactiva las contrase├▒as de las cuentas tras las violaciones de datos de terceros al obtener el conjunto de datos y las contrase├▒as expuestas en comparaci├│n con sus bases de datos.

Spotify no respondi├│ a nuestras preguntas de seguimiento.

Los clientes de Chipotle, DoorDash y OkCupid han reportado todos los hackeos de cuentas en los ├║ltimos meses. Los tres han negado las violaciones de datos.

:)