Spotify restablece algunas contrase├▒as de cuentas citando «actividad sospechosa»

Spotify, notific├│ a un n├║mero no especificado de usuarios que la compa├▒├şa ha restablecido las contrase├▒as de cuentas, pero dej├│ a docenas de usuarios preguntando por qu├ę.

En un correo electr├│nico, a algunos usuarios de Spotify se les dijo que las contrase├▒a de cuentas se hab├şan restablecido «debido a una actividad sospechosa detectada», pero no dio m├ís detalles.

https://twitter.com/NonoGerrard/status/1130868993076547584

Contrase├▒as de cuentas restablecidas

Cuando fue contactado, el portavoz de Spotify, Peter Collins, dijo: «Como parte de nuestros esfuerzos de mantenimiento continuo para combatir la actividad fraudulenta en nuestro servicio, recientemente compartimos una comunicaci├│n con usuarios seleccionados para restablecer sus contrase├▒as de cuentas como medida de precauci├│n. Como pr├íctica recomendada, recomendamos encarecidamente a los usuarios que no usen las mismas credenciales en diferentes servicios para protegerse».

En otras palabras, Spotify dice que esto es un ataque de relleno de credenciales, donde los piratas informáticos toman listas de nombres de usuario y contraseñas de otros sitios violados y forzan su acceso a otras cuentas.

Nos contactamos con varias personas que recibieron el mensaje de restablecimiento de correo electr├│nico. Algunos usaron la misma contrase├▒a en diferentes sitios web y otros usaron contrase├▒as exclusivas de Spotify. Dos personas que comentaron en este hilo de Hacker News tambi├ęn dijeron que sus contrase├▒as eran ├║nicas, lo que arrojaba dudas sobre la veracidad de un ataque de relleno de credenciales.

No es raro que las empresas restablezcan las contrase├▒as de los usuarios si creen que son d├ębiles o f├íciles de adivinar. Las empresas generalmente no almacenan las contrase├▒as de los usuarios en texto plano. En su lugar, codifican las contrase├▒as utilizando un algoritmo de hash. Al codificar las listas de contrase├▒as d├ębiles o robadas utilizando el mismo algoritmo, las empresas pueden comparar contrase├▒as d├ębiles con sus propias bases de datos y enviar de forma proactiva correos electr├│nicos de restablecimiento de contrase├▒as.

Netflix, Facebook y Spotify tambi├ęn han restablecido de forma proactiva las contrase├▒as de las cuentas tras las violaciones de datos de terceros al obtener el conjunto de datos y las contrase├▒as expuestas en comparaci├│n con sus bases de datos.

Spotify no respondi├│ a nuestras preguntas de seguimiento.

Los clientes de Chipotle, DoorDash y OkCupid han reportado todos los hackeos de cuentas en los ├║ltimos meses. Los tres han negado las violaciones de datos.

:)