Recevez chaque jour toute l'actualité du numérique

x

Des hackers ont accédé aux identifiants de 400 000 comptes Spotify

Vu ailleurs Une base de données de 72 Go, qui stockait les emails et les mots de passe de 400 000 comptes abonnés au service de streaming musical Spotify, a été découverte. Les hackers utilisaient ces données pour alimenter un service de streaming pirate ou faire du "streaming boosting", c'est-à-dire gonfler artificiellement les lectures de titres de certains artistes.  
Twitter Facebook Linkedin Flipboard Email
×

Des hackers ont accédé aux identifiants de 400 000 comptes Spotify
Des hackers ont accédé aux identifiants de 400 000 comptes Spotify © Spotify

Une base de données mal protégée contenait les emails et les mots de passe de 400 000 comptes abonnés Spotify, dont 47 456 appartenaient à des utilisateurs français. 

Cette découverte a été faite par les chercheurs en cybersécurité Noam Rotem et Ran Locar, assistés par le site web VPNMentor, révèle Le Parisien.

L'œuvre d'un groupe de hackers
Cette base de données de 72 Go, soit 380 millions de documents, n'est pas le fruit d'une classique fuite de données mais l'œuvre d'un groupe de hackers. "Nous avons rapidement établi que ce n'était pas une fuite ou un piratage venant de Spotify car cette base de données appartenait à des tiers qui avaient réussi à accumuler illégalement des emails et des mots de passe qui donnaient de vrais accès à ces comptes gratuits et premium", raconte Ran Locar.

Afin d'obtenir ces données d'identification, les hackers ont eu recours à la méthode dites du "credential stuffing". Ce type de cyberattaque consiste à récupérer des informations de connexions volées sur Internet et de les tester sur d’autres sites web pour accéder aux autres comptes de ces mêmes utilisateurs.

Les données étaient utilisés pour un alimenter un service de streaming
Les hackers ont ensuite recours à des botnets pour tester des milliers de combinaisons sur des sites web bien connus, tels que Netflix ou Spotify. C'est une fois qu'un compte est vérifié que sa valeur marchande explose. Un abonnement valide peut se revendre 10 dollars à l'unité, note Le Parisien.

Mais les criminels n'auraient pas directement commercialisé ces données. Ils s'en servaient "pour alimenter un service de streaming pirate ou pour faire du 'streaming boosting' c'est-à-dire gonfler artificiellement les lectures de titres de certains artistes", d'après les chercheurs en cybersécurité.

Interrogé par Le Parisien, Spotify a affirmé avoir lancé "une réinitialisation progressive des mots de passe de tous les utilisateurs concernés". Ainsi, l'entreprise suédoise ajoute que "les informations contenues dans la base de données deviennent inutiles".

Le nombre d'utilisateurs actifs du service de streaming musical était de 299 millions fin juin, dont 3 millions en France.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media