Spotify, notificó a un número no especificado de s que la compañía ha restablecido las contraseñas de cuentas, pero dejó a docenas de s preguntando por qué.
En un correo electrónico, a algunos s de Spotify se les dijo que las contraseña de cuentas se habían restablecido «debido a una actividad sospechosa detectada», pero no dio más detalles.
Anyone else getting emails from Spotify about suspicious activity? No compromise, at least not on my , just seems to be getting hammered
— Chris Barsby (@Barsbeh) May 16, 2019
Spotify just reset my due to 'suspicious activity'. Did someone hack in to listen to Justin Bieber or something?
— P13 (@apaulothirteen) May 16, 2019
https://twitter.com/NonoGerrard/status/1130868993076547584
Contraseñas de cuentas restablecidas
Cuando fue ado, el portavoz de Spotify, Peter Collins, dijo: «Como parte de nuestros esfuerzos de mantenimiento continuo para combatir la actividad fraudulenta en nuestro servicio, recientemente compartimos una comunicación con s seleccionados para restablecer sus contraseñas de cuentas como medida de precaución. Como práctica recomendada, recomendamos encarecidamente a los s que no usen las mismas credenciales en diferentes servicios para protegerse».
En otras palabras, Spotify dice que esto es un ataque de relleno de credenciales, donde los piratas informáticos toman listas de nombres de y contraseñas de otros sitios violados y forzan su a otras cuentas.
Nos amos con varias personas que recibieron el mensaje de restablecimiento de correo electrónico. Algunos usaron la misma contraseña en diferentes sitios web y otros usaron contraseñas exclusivas de Spotify. Dos personas que comentaron en este hilo de Hacker News también dijeron que sus contraseñas eran únicas, lo que arrojaba dudas sobre la veracidad de un ataque de relleno de credenciales.
No es raro que las empresas restablezcan las contraseñas de los s si creen que son débiles o fáciles de adivinar. Las empresas generalmente no almacenan las contraseñas de los s en texto plano. En su lugar, codifican las contraseñas utilizando un algoritmo de hash. Al codificar las listas de contraseñas débiles o robadas utilizando el mismo algoritmo, las empresas pueden comparar contraseñas débiles con sus propias bases de datos y enviar de forma proactiva correos electrónicos de restablecimiento de contraseñas.
Netflix, Facebook y Spotify también han restablecido de forma proactiva las contraseñas de las cuentas tras las violaciones de datos de terceros al obtener el conjunto de datos y las contraseñas expuestas en comparación con sus bases de datos.
Spotify no respondió a nuestras preguntas de seguimiento.
Los clientes de Chipotle, DoorDash y OkCupid han reportado todos los hackeos de cuentas en los últimos meses. Los tres han negado las violaciones de datos.
:)