Spotify à nouveau visé par une attaque de bourrage d'informations d'identification

Un chercheur a découvert que Spotify avait été victime d’une attaque par bourrage d’informations d’identification utilisant des données de plus de 100 000 comptes.

Contrairement à l’incident précédent impliquant Spotify il y a quelques mois, la dernière attaque n’est pas due à une faille de sécurité. Cette fois, des cybercriminels ont tenté d’utiliser une base de données d’identification Spotify malveillante dans une attaque de bourrage d’informations d’identification.

Le chercheur en sécurité Bob Diachenko a identifié une base de données contenant plus de 100 000 détails de compte, probablement divulgués ailleurs, que les criminels ont utilisée pour compromettre les comptes Spotify.

«Les attaques par bourrage d’informations d’identification sont une tactique courante utilisée par les pirates qui tentent d’accéder à des comptes d’utilisateurs privés», a déclaré Spotify. «Les cybercriminels utilisent des noms d’utilisateur et des mots de passe divulgués ailleurs sur le web, que les individus réutilisent sur plusieurs de leur comptes en ligne.»

“Cet incident n’était le résultat d’aucune violation de sécurité de Spotify”, a expliqué la société. «Une fois que nous avons pris connaissance de la situation, nous avons envoyé une réinitialisation de mot de passe à tous les utilisateurs concernés, ce qui a rendu invalides les informations d’identification rendues publiques, et nous avons travaillé pour que la base de données frauduleuse soit supprimée par le fournisseur d’accès qui l’héberge.»

Malheureusement, les informations d’identification réutilisées sont un fléau de la cybersécurité. Peu importe que les utilisateurs choisissent un mot de passe fort et complexe s’ils le réutilisent pour d’autres services en ligne. Spotify a eu la chance qu’un chercheur en sécurité trouve la base de données, mais il est peu probable que ce soit le dernier incident du genre.

Nous conseillons aux utilisateurs de choisir des mots de passe uniques pour les services en ligne et de les changer rapidement si une violation de données divulgue leurs informations d’identification. Il serait également judicieux d’acquérir une solution de cybersécurité qui garde un œil sur l’identité numérique des utilisateurs.