Grave problema di sicurezza per Spotify, la corporation dello streaming multimediale da 320 milioni di utenti attivi al mese. Una frazione di questo esercito di ascoltatori si è vista di recente recapitare una richiesta di cambio password, una mossa giustificata dalla compromissione di un database esterno non controllato direttamente da Spotify.
L’esistenza del database in oggetto è stata verificata da vpnMentor l’estate scorsa, quando i ricercatori hanno scoperto un enorme archivio Elasticsearch da 72 gigabyte contenente 380 milioni di record. Oltre 300.000 di questi record corrispondevano a utilizzatori di Spotify, una massa di dati usata per attacchi basati sul riutilizzo delle password da parte degli utenti (credential stuffing).
L’esistenza del database compromesso è stata subito comunicata a Spotify, e la corporation svedese dovrebbe aver già informato gli utenti coinvolti costringendoli a cambiare password. Una misura precauzionale di sicurezza, sostanzialmente superflua nei casi in cui gli utenti avessero messo in pratica delle buone regole di opsec servendosi di una password differente per ogni servizio di rete.
E proprio sugli utenti ricade la responsabilità della nuova, potenziale minaccia di rete e il conseguente reset della password richiesto da Spotify. La nefasta abitudine a riutilizzare la password per più di un sito o servizio Web è una delle peggiori iatture che possano capitare alla sicurezza dei dati e degli account.