Al parecer, Spotify ha restablecido una cantidad no revelada de contraseñas después de exponer accidentalmente datos de usuarios.
La compañía presentó una notificación de violación de datos a la oficina del fiscal general de California para alertar al estado. La compañía de streaming de música dice que los datos expuestos pueden haber incluido «direcciones de correo electrónico, nombre para mostrar, contraseña, sexo y fecha de nacimiento».
Entonces, ¿quién tuvo acceso a toda esta información? Spotify dice «solo ciertos socios comerciales» sin nombrarlos específicamente.
La vulnerabilidad del software que se explotó existía desde el 9 de abril pero no se descubrió hasta el 12 de noviembre. Spotify por su parte, no dijo cuándo quedaron expuestos los datos.
“Hemos realizado una investigación interna y nos hemos puesto en contacto con todos nuestros socios comerciales que pueden haber tenido acceso a la información de las cuentas para asegurarnos de que se haya eliminado cualquier información personal que se les haya revelado inadvertidamente”, dice la carta.
Un portavoz de Spotify ha confirmado que el problema afecta a un «pequeño subconjunto» de usuarios de Spotify.
Spotify se ha negado a nombrar cuántos de sus 320 millones de usuarios o 144 millones de suscriptores pueden verse afectados por la vulnerabilidad de seguridad.
Millones de cuentas hackeadas de Spotify están disponibles para la venta por tan solo $ 1 en la web oscura. Los piratas informáticos recopilan cuentas y contraseñas de Spotify y las venden varias veces.
Es un problema que Spotify ha tardado en combatir durante años y aún carece de autenticación de dos factores para sus servicios. «Querido serbio que hackeó mi cuenta de Spotify, podríamos haber compartido», escribe un usuario en Twitter.
Es un poco falso llamar a estos ataques hackeos. Son ataques de relleno de credenciales que buscan contraseñas reutilizadas en una variedad de servicios. Por ejemplo, si usas la misma contraseña para tu cuenta de GAP y Spotify, corres el riesgo de que pirateen GAP. Los piratas informáticos conectarán rápidamente esa contraseña con tu correo electrónico para ver si funciona. Si lo hace y se suscribe a Spotify Premium, la cuenta sale a la venta en la web oscura.
Spotify no le ha dicho a nadie que la información de sus usuarios haya sido expuesta. De hecho, el público en general no lo hubiera sabido si no fuera por esa notificación de violación de datos presentada al estado de California.
Esto apunta a que, si recientemente tuviste que cambiar tu contraseña antes de acceder a Spotify, ahora sabes por qué.
Es posible que desees cambiar tus contraseñas en otro lugar, ya que los datos personales quedaron expuestos en esta vulnerabilidad de software.