En promedio un usuario suele tener entre 3 a un máximo pero poco frecuente de 5 contraseñas utilizadas en los múltiples servicios o páginas de suscripción, comportamiento que los ciberdelincuentes conocen muy bien y por ello emplean múltiples métodos para engañar a los usuarios, con el fin de extraer una o más contraseñas del usuario, uno de los métodos utilizados es extracción de datos de las filtraciones de sitios web hackeados o data leaks publicadas en internet.
El método mencionado anteriormente fue el utilizado por un grupo de ciberdelincuentes para almacenar en un servidor más de 350.000 credenciales de Spotify, la aplicación de entretenimiento musical de streaming más utilizada alrededor del mundo.
Aunque la plataforma oficial no fue hackeada, son muchas las cuentas filtradas en el servidor descubiertas por un grupo de expertos al escanear la Internet en búsqueda de servidores carentes de seguridad o expuestos directamente, como fue el caso. Cabe destacar que los investigadores no saben a ciencia cierta si el servidor con las credenciales expuestas fueron descubiertas por otras personas con anterioridad, que bien pudieron haber realizado una copia de lo almacenado en el servidor.
Por parte de Spotify, procedió a notificar a los usuarios que figuran en dicha filtración, además de solicitar un reinicio de su contraseña.
Como se podrá observar en este evento, los atacantes no necesitan necesariamente tener mucho conocimiento informático para vulnerar la privacidad de los usuarios, en este caso los ciberdelincuentes solo requirieron de investigación y mucha paciencia al verificar las credenciales encontradas en los servicios de suscripción, demostrando que el robo o filtración de unos pocos datos puede ser el desencadenante que comprometa a un usuario o un sistema.
Desde Arkavia Networks recomendamos a los usuarios, usar generadores de contraseñas y guardarlas en sitios seguros, así como también utilizar alguna autenticación de doble factor si el servicio permite habilitarlo.
Fuente:
https://www.vpnmentor.com/blog/report-spotify-scam/
COMENTARIOS