Dans le cadre d'un vaste projet de cartographie web, les hackers éthiques de vpnMentor font régulièrement quelques trouvailles en sondant des ports pour examiner des blocs IP particuliers et détecter des failles ou vulnérabilités. De quoi identifier d'éventuelles fuites de données.

L'équipe de recherche de vpnMentor indique dans un rapport publié lundi avoir découvert une possible opération de credential stuffing aux origines inconnues. Elle a touché des utilisateurs en ligne ayant également des comptes Spotify.

Contenant plus de 380 millions d'enregistrements, dont des identifiants de connexion, une base de données Elasticsearch exposée en ligne - sur un serveur non sécurisé - a été utilisée pour pirater des comptes Spotify. Les enregistrements dans la base de données auraient permis de compromettre entre 300 000 et 350 000 comptes Spotify.

hacker

Aller à la pêche

L'affaire n'est pas nouvelle. vpnMentor indique avoir contacté Spotify le 9 juillet dernier et le leader du streaming de musique a répondu le jour même. Pour l'ensemble des utilisateurs concernés, une réinitialisation progressive des mots de passe avait été lancée.

" En conséquence, les informations contenues dans la basse de données sont annulées et deviennent inutiles ", écrit vpnMentor. La base de données de 72 Go aurait été le fruit d'une collecte d'identifiants volés qui ont ensuite été utilisés pour cibler l'accès à des comptes Spotify, mais l'incident de sécurité n'émanait pas de Spotify.

Pour une cyberattaque, la technique du credential stuffing est définie par la plateforme cyberveille-sante.gouv.fr comme une réutilisation d'identifiants volés qui peuvent être trouvés sur le darknet. Des attaquants sont susceptibles de s'appuyer sur un botnet pour procéder massivement à des tentatives de connexion. Une faille est la tendance humaine à réutiliser de mêmes identifiants pour divers comptes.