Ataque de relleno de credenciales involucra a Spotify

Investigadores de Vpnmentor descubrieron una posible operación de relleno de credenciales cuyos orígenes se desconocen, pero que afectó a algunos usuarios en línea que también tienen cuentas de Spotify. 

El relleno de credenciales es una técnica de piratería que aprovecha las contraseñas débiles que los consumidores usan, y que a menudo reutilizan, en línea.

El equipo descubrió una base de datos de Elasticsearch que con más de 380 millones de registros, incluidas las credenciales de inicio de sesión y otros datos de usuario que se validan con el servicio Spotify.

Se desconocen los orígenes de la base de datos y cómo los estafadores apuntaban a Spotify. Los piratas informáticos posiblemente usaban credenciales de inicio de sesión robadas de otra plataforma, aplicación o sitio web  y las usaban para acceder a las cuentas de Spotify.

Trabajando con Spotify,  se confirmó que la base de datos pertenecía a un grupo o individuo que la usaba para defraudar a Spotify y sus usuarios. 

La siguiente captura de pantalla demuestra cómo se expusieron los datos PII y las credenciales de inicio de sesión de alguien. En este caso, la contraseña de su cuenta de Spotify era simplemente «spotify».

En este caso, el incidente no se originó en Spotify. La base de datos expuesta pertenecía a un tercero que la estaba utilizando para almacenar las credenciales de inicio de sesión de Spotify. 

Estas credenciales probablemente se obtuvieron ilegalmente o se filtraron potencialmente de otras fuentes que fueron reutilizadas para ataques de relleno de credenciales contra Spotify.

Qué se encontró en la base de datos

La base de datos en cuestión contenía más de 72 GB de datos, con un total de más de 380 millones de registros individuales, y estaba alojada en un servidor Elasticsearch no seguro.

Se desconocen los orígenes de la base de datos y cómo los estafadores apuntaban a Spotify. Los piratas informáticos posiblemente usaban credenciales de inicio de sesión robadas de otra plataforma, aplicación o sitio web, y las usaban para acceder a las cuentas de Spotify.

Muchos de los registros de la base de datos contenían información sobre posibles usuarios de Spotify, como sus datos de información de identificación personal (PII) y las credenciales de inicio de sesión de Spotify.

Esto incluyó:

  • Nombres de usuario y contraseñas de cuentas verificados en Spotify
  • Correos electrónicos
  • Países de residencia

También hubo numerosas direcciones IP de servidor expuestas en la filtración. Sin embargo, lo más probable es que provengan de servidores proxy que pertenecen a los operadores de la red en la que se aloja la base de datos.