Spotify, notificó a un número no especificado de usuarios que la compañía ha restablecido las contraseñas de cuentas, pero dejó a docenas de usuarios preguntando por qué.
En un correo electrónico, a algunos usuarios de Spotify se les dijo que las contraseña de cuentas se habían restablecido «debido a una actividad sospechosa detectada», pero no dio más detalles.
Anyone else getting emails from Spotify about suspicious activity? No compromise, at least not on my account, just seems to be getting hammered
— Chris Barsby (@Barsbeh) May 16, 2019
Spotify just reset my password due to 'suspicious activity'. Did someone hack in to listen to Justin Bieber or something?
— P13 (@apaulothirteen) May 16, 2019
https://twitter.com/NonoGerrard/status/1130868993076547584
Contraseñas de cuentas restablecidas
Cuando fue contactado, el portavoz de Spotify, Peter Collins, dijo: «Como parte de nuestros esfuerzos de mantenimiento continuo para combatir la actividad fraudulenta en nuestro servicio, recientemente compartimos una comunicación con usuarios seleccionados para restablecer sus contraseñas de cuentas como medida de precaución. Como práctica recomendada, recomendamos encarecidamente a los usuarios que no usen las mismas credenciales en diferentes servicios para protegerse».
En otras palabras, Spotify dice que esto es un ataque de relleno de credenciales, donde los piratas informáticos toman listas de nombres de usuario y contraseñas de otros sitios violados y forzan su acceso a otras cuentas.
Nos contactamos con varias personas que recibieron el mensaje de restablecimiento de correo electrónico. Algunos usaron la misma contraseña en diferentes sitios web y otros usaron contraseñas exclusivas de Spotify. Dos personas que comentaron en este hilo de Hacker News también dijeron que sus contraseñas eran únicas, lo que arrojaba dudas sobre la veracidad de un ataque de relleno de credenciales.
No es raro que las empresas restablezcan las contraseñas de los usuarios si creen que son débiles o fáciles de adivinar. Las empresas generalmente no almacenan las contraseñas de los usuarios en texto plano. En su lugar, codifican las contraseñas utilizando un algoritmo de hash. Al codificar las listas de contraseñas débiles o robadas utilizando el mismo algoritmo, las empresas pueden comparar contraseñas débiles con sus propias bases de datos y enviar de forma proactiva correos electrónicos de restablecimiento de contraseñas.
Netflix, Facebook y Spotify también han restablecido de forma proactiva las contraseñas de las cuentas tras las violaciones de datos de terceros al obtener el conjunto de datos y las contraseñas expuestas en comparación con sus bases de datos.
Spotify no respondió a nuestras preguntas de seguimiento.
Los clientes de Chipotle, DoorDash y OkCupid han reportado todos los hackeos de cuentas en los últimos meses. Los tres han negado las violaciones de datos.
:)