Con quasi 300 milioni di utenti attivi in tutto Spotify è il compagno fidato di studenti, pendolari, runner e chi più ne ha più ne metta.
Il servizio, che ti permette di avere accesso a un catalogo di artisti e band – oltre ai classici podcast – illimitato è disponibile sia in maniera gratuita, a patto di essere interrotti regolarmente dalle pubblicità, o in abbonamento, sia tramite il classico abbonamento mensile.
Come tutte le piattaforme di streaming online, prevede quindi che associato ad ogni account via sia una mail ed un username, oltre che, per gli utenti a pagamento, una carta di credito/debito collegata.
E qui nasce il problema.
Perché è appena stato scoperto – da due ricercatori della società vonMentor, Noam Rotem e Ran Locar – che è in corso una massiccia campagna di cyber attacco contro gli iscritti della piattaforma di streaming musicale.
Dove nasce il problema
Il tipo di tecnica scelta dai Criminal Hacker per prendere di mira gli utenti è nota come Credential Stuffing.
Una tecnica di hacking che approfitta della brutta abitudine che molti di noi hanno di riutilizzare le proprie credenziali (email e password solitamente) per prendere il controllo di tutti gli account ad esse collegate e successivamente rubare il maggior numero di informazioni e dati sensibili possibile.
Ma come hanno fatto – visto che è comunque necessario avere in mano queste credenziali – i Criminal Hacker a tentare di accedere a questi account Spotify (si parla comunque di almeno 300mila account)?
Qui entra in gioco la componente chiave dell'attacco, anzi quella principale, visto che senza di questa non sarebbe possibile alcuna azione criminale.
È necessario per i Criminal Hacker acquisire dei database contenenti tutte queste "coppie magiche" in chiaro.
Nel caso di Spotify, è stato scoperto un archivio contenente oltre 380 milioni di record (singoli frammenti d'informazioni riservate come nome e cognome; indirizzo...oltre a password ed email) contenuti all'interno di un server non sicuro.
Questo archivio digitale includeva ogni genere d'informazione possibile – oltre a quelle già citate – sugli utenti, come i dati personali, le credenziali complete per il login, la residenza, l'indirizzo Ip… insomma, un vero bottino di informazioni utili per compiere l'attacco di Credential Stuffing.
Ma il vero colpo di scena è che il database non appartiene a Spotify (infatti non tutti e i 380 milioni di record appartengono agli utenti della piattaforma di streaming), quanto al suo interno, tra i vari campi, è presente una voce che indica se la particolare combo email-password è valida per accedere all'account Spotify della vittima.
I ricercatori, insieme a Spotify stessa, ritengono che il database sia stato "compilato" – letteralmente assemblato - da dei Criminal hacker che potrebbero aver utilizzato credenziali di accesso rubate da altre fonti che sono state poi riutilizzate per attacchi di Credential Stuffing contro Spotify.
Questo perché questo tipo di attacco prevede che gli hacker prendano i nomi utente e le password rubate in un singolo episodio di Hacking, per poi verificare se le stesse credenziali funzionano su altri siti e servizi a pagamento dove gli utenti potrebbero aver riutilizzato le proprie password.
Dance GIF by SpotifyGiphy
Insomma, hanno creato un vero e proprio "calderone" d'informazioni rubate – comprese password ed email – da cui poi lanciare attacchi automatizzati contro siti proprio come Spotify (finito per l'appunto nel mirino).
Cosa succede adesso
Spotify ha avviato un "rolling reset" delle password per tutti gli utenti interessati, ovvero ha resettato la password dei suoi abbonati colpiti per far si che ne venga inserita una nuova.
Rimane comunque il rischio, per le vittime dell'attacco hacker, di essere colpiti su altri account.
Proprio perché le informazioni contenute nel database, oggi utilizzate per colpire Spotify, potrebbero sempre essere indirizzate contro un'altra piattaforma.
Non è difficile da immaginare in fondo, quanti di noi abbiano la stessa password per i vari Netflix, Amazon, eBay…
Ma non solo, la quantità e la qualità delle informazioni trapelate potrebbero permettere ai Criminal Hacker di sferrare un'altra serie di attacchi come:
- Frode finanziaria e furto d'identità
- Attacchi di phishing
- Account Abuse (dove di fatto i Criminal Hacker si "approfittano" dei nostri account per usufruire dei servizi pagati da noi).
Il consiglio adesso, per chi ancora non avesse provveduto, è quello di cambiare password sia sul proprio account di Spotify sia su tutti gli altri dove era stata (ri)utilizzata, così da scongiurare il pericolo che vengano violati anche questi.
Inoltre è sempre consigliabile adottare un gestore di password per evitare di ripetere costantemente di utilizzare le solite e cadere in trappole come quelle appena descritte.
Non abbassiamo la guardia!
- L'hacker arriva via mail - Panorama ›
- Se l'hacker truffa anche le nostre vacanze - Panorama ›
- Hacker senza freni, colpiti i maestri della cybersecurity - Panorama ›
- Pagare con un App? La comodità ha un prezzo - Panorama ›
- L'insicurezza delle telecamere di sicurezza - Panorama ›
- Sei tu in questo video? La truffa in agguato su Facebook - Panorama ›
- Chi truffa sul web 500 euro e chi un miliardo - Panorama ›
- Il mercato delle password rubate - Panorama ›
- Shopping online, attenzione al «watering hole» - Panorama ›
- Nuovo Presidente, nuova strategia cyber - Panorama ›
- Shopping online, attenzione al «watering hole» - Panorama ›
- La truffa del «phreaking» - Panorama ›
- L'hacker arriva via mail - Panorama ›
- Hacker senza freni, colpiti i maestri della cybersecurity - Panorama ›
- Wargames, dal film alla realtà - Panorama ›
- Quanto è facile essere un hacker - Panorama ›
- La Svezia vince il Locked Shields, l'esercitazione Nato anti-hacker - Panorama ›
- Gli hacker hanno conquistato Brescia - Panorama ›
- Se l'hacker si traveste da Oscar - Panorama ›
- Deep Fake, la falsificazione dell'immagine umana, nuova frontiera degli hacker - Panorama ›
- La guerra agli hacker nel Dark Web - Panorama ›
- Alibaba ed il browser spione - Panorama ›
- Russia vs Usa, la guerra fredda digitale - Panorama ›
- Attacco Hacker all'Aero Club d'Italia - Panorama ›
- La sanità digitale colabrodo dove fanno festa gli hacker - Panorama ›
- 100 mila dispositivi infettati dai Botnet, e nessuno lo sa - Panorama ›
- L’hacker batte dove il dente duole, cioè la questione gas ed Ucraina - Panorama ›
- Trenitalia colpita da Hive Group, biglietterie ko per un ransomware - Panorama ›
- Tornano i ransomware ed i criminal hacker professionisti - Panorama ›
- Il Cyber Crime non si ferma a est - Panorama ›
- Le guerre cyber ci deglobalizzeranno? - Panorama ›
- C'è la mano russa dietro l'attacco hacker a Senato e Difesa - Panorama ›
- Il mondo nelle mani degli hacker - Panorama ›
- Il mondo nelle mani degli hacker - Panorama ›
- Una hacker tra Christine e Angela - Panorama ›
- Hacker: come agiscono e come difenderci | video guida - Panorama ›
- I pirati della Rete contro la pubblica amministrazione - Panorama ›
- Da IoT ad AIoT: le insidie del cambiamento - Panorama ›
- Cosa nasconde l’ultimo weekend cyber “di fuoco” a cui dovremo fare l'abitudine - Panorama ›
- Cosa nasconde l’ultimo weekend cyber “di fuoco” a cui dovremo fare l'abitudine - Panorama ›
- Attacchi cyber e fughe di cervelli - Panorama ›
- Agosto, ancora una volta mese “nero” per il web - Panorama ›
- L’antica storia degli attacchi DDoS - Panorama ›
- Ritratto di un cyber criminale - Panorama ›
- Dopo attacco ABI anche le banche italiane a rischio? - Panorama ›
- La Russia chiude internet per lanciare un attacco hacker (e difendersi da Anonymous) - Panorama ›
- La regola delle cinque «W» del cybercrimine - Panorama ›
- L'attacco alla SIAE è anche questione di marketing tra gang di hacker - Panorama ›
- Pagare o non pagare il riscatto ai cyber criminali? - Panorama ›
- Cyber crime come servizio: il mercato si allarga - Panorama ›
- La tua prossima playlist di Spotify sarà composta dall'AI - Panorama ›
