Investigadores descubrieron una base de datos configurada de manera insegura que contenía datos con 380 millones de registros, incluyendo credenciales que fueron utilizadas para secuestrar hasta 350.000 cuentas.
Investigadores han encontrado una base de datos indebidamente asegurada accesible a través de Internet con más de 380 millones de registros individuales, entre los cuales se identificaron credenciales de inicio de sesión que se utilizaron para acceder a entre 300.000 y 350.000 cuentas de Spotify. Los registros expuestos incluían una variedad de información confidencial, como nombres de usuario y contraseñas de personas, direcciones de correo electrónico y países de residencia.
El tesoro escondido de datos se almacenó en un servidor Elasticsearch indebidamente asegurado y fue descubierto por vpnMentor. Se desconoce tanto el origen como los propietarios de la base de datos. Sin embargo, los investigadores validaron la veracidad de los datos contactando a Spotify, que confirmó que la información había sido utilizada para defraudar tanto a la empresa como a sus usuarios.
Credential stuffing, que en español significa relleno de credenciales, es un ataque automatizado de secuestro de cuentas en el cual los ciberdelincuentes hacen uso de bots para realizar intentos de inicio de sesión utilizando credenciales de acceso robadas en brechas de datos que ocurrieron en otros sitios. De esta manera, prueban hasta dar con la combinación correcta de “antiguas” credenciales de acceso que funcionen en otros sitios web y así logran obtener acceso. Generalmente, el uso del doble factor de autenticación mitiga las posibilidades que las cuentas se vean comprometidas mediante este tipo de ataque, pero Spotify no cuenta con esta opción.
El equipo contactó a la compañía de streaming de música sueca el 9 de julio y recibió una respuesta casi inmediata. En un plazo de once días, entre el 10 y el 21 de julio, Spotify resolvió el problema y lanzó un restablecimiento de contraseñas para todos los usuarios afectados.
“En este caso, el incidente no se originó en Spotify. La base de datos expuesta pertenecía a un tercero que la estaba utilizando para almacenar las credenciales de inicio de sesión de Spotify. Estas credenciales probablemente se obtuvieron ilegalmente o se filtraron de otras fuentes y fueron reutilizadas para lanzar ataques de credential stuffing contra Spotify”, explicaron los investigadores.
El éxito continuo de los ataques de relleno de credenciales puede atribuirse, en gran parte, a los malos hábitos de los usuarios en cuanto a las contraseñas. Las personas a menudo cometen muchos de los errores más comunes de la creación y el uso de contraseñas, como la reutilización de claves o incluso compartir sus credenciales de acceso con otros. Para comprobar la existencia de estos malos hábitos de higiene cibernética no se necesita ver más allá de la lista con las contraseñas más comunes de 2020, que está encabezada por verdaderas joyas como “123456” y “123456789”.
Para proteger los datos confidenciales almacenados en tus cuentas lo primero que se debe hacer es elegir una contraseña única y segura, o incluso utilizar una frase como contraseña. Por practicidad, también puede usar un administrador de contraseñas, una herramienta que hará todo el trabajo pesado por usted, como es la generación de nuevas y fuertes contraseñas y el almacenamiento de todas ellas en un mismo lugar, solo necesitando tener que recordar una contraseña maestra para acceder a la herramienta.