Tecnologia
November 30 2020
Con quasi 300 milioni di utenti attivi in tutto Spotify è il compagno fidato di studenti, pendolari, runner e chi più ne ha più ne metta.
Il servizio, che ti permette di avere accesso a un catalogo di artisti e band – oltre ai classici podcast – illimitato è disponibile sia in maniera gratuita, a patto di essere interrotti regolarmente dalle pubblicità, o in abbonamento, sia tramite il classico abbonamento mensile.
Come tutte le piattaforme di streaming online, prevede quindi che associato ad ogni account via sia una mail ed un username, oltre che, per gli utenti a pagamento, una carta di credito/debito collegata.
E qui nasce il problema.
Perché è appena stato scoperto – da due ricercatori della società vonMentor, Noam Rotem e Ran Locar – che è in corso una massiccia campagna di cyber attacco contro gli iscritti della piattaforma di streaming musicale.
Il tipo di tecnica scelta dai Criminal Hacker per prendere di mira gli utenti è nota come Credential Stuffing.
Una tecnica di hacking che approfitta della brutta abitudine che molti di noi hanno di riutilizzare le proprie credenziali (email e password solitamente) per prendere il controllo di tutti gli account ad esse collegate e successivamente rubare il maggior numero di informazioni e dati sensibili possibile.
Ma come hanno fatto – visto che è comunque necessario avere in mano queste credenziali – i Criminal Hacker a tentare di accedere a questi account Spotify (si parla comunque di almeno 300mila account)?
Qui entra in gioco la componente chiave dell'attacco, anzi quella principale, visto che senza di questa non sarebbe possibile alcuna azione criminale.
È necessario per i Criminal Hacker acquisire dei database contenenti tutte queste "coppie magiche" in chiaro.
Nel caso di Spotify, è stato scoperto un archivio contenente oltre 380 milioni di record (singoli frammenti d'informazioni riservate come nome e cognome; indirizzo...oltre a password ed email) contenuti all'interno di un server non sicuro.
Questo archivio digitale includeva ogni genere d'informazione possibile – oltre a quelle già citate – sugli utenti, come i dati personali, le credenziali complete per il login, la residenza, l'indirizzo Ip… insomma, un vero bottino di informazioni utili per compiere l'attacco di Credential Stuffing.
Ma il vero colpo di scena è che il database non appartiene a Spotify (infatti non tutti e i 380 milioni di record appartengono agli utenti della piattaforma di streaming), quanto al suo interno, tra i vari campi, è presente una voce che indica se la particolare combo email-password è valida per accedere all'account Spotify della vittima.
I ricercatori, insieme a Spotify stessa, ritengono che il database sia stato "compilato" – letteralmente assemblato - da dei Criminal hacker che potrebbero aver utilizzato credenziali di accesso rubate da altre fonti che sono state poi riutilizzate per attacchi di Credential Stuffing contro Spotify.
Questo perché questo tipo di attacco prevede che gli hacker prendano i nomi utente e le password rubate in un singolo episodio di Hacking, per poi verificare se le stesse credenziali funzionano su altri siti e servizi a pagamento dove gli utenti potrebbero aver riutilizzato le proprie password.
Dance GIF by SpotifyGiphy
Insomma, hanno creato un vero e proprio "calderone" d'informazioni rubate – comprese password ed email – da cui poi lanciare attacchi automatizzati contro siti proprio come Spotify (finito per l'appunto nel mirino).
Spotify ha avviato un "rolling reset" delle password per tutti gli utenti interessati, ovvero ha resettato la password dei suoi abbonati colpiti per far si che ne venga inserita una nuova.
Rimane comunque il rischio, per le vittime dell'attacco hacker, di essere colpiti su altri account.
Proprio perché le informazioni contenute nel database, oggi utilizzate per colpire Spotify, potrebbero sempre essere indirizzate contro un'altra piattaforma.
Non è difficile da immaginare in fondo, quanti di noi abbiano la stessa password per i vari Netflix, Amazon, eBay…
Ma non solo, la quantità e la qualità delle informazioni trapelate potrebbero permettere ai Criminal Hacker di sferrare un'altra serie di attacchi come:
Il consiglio adesso, per chi ancora non avesse provveduto, è quello di cambiare password sia sul proprio account di Spotify sia su tutti gli altri dove era stata (ri)utilizzata, così da scongiurare il pericolo che vengano violati anche questi.
Inoltre è sempre consigliabile adottare un gestore di password per evitare di ripetere costantemente di utilizzare le solite e cadere in trappole come quelle appena descritte.
Non abbassiamo la guardia!