Les informations de centaines de comptes Spotify dans la nature

Mickaël Bazoge |

Spotify a été la cible d’un piratage à grande échelle, explique Forbes. Les informations de centaines de comptes gratuits et Premium ont été mises à disposition de tous sur Pastebin depuis lundi dernier. On trouve dans les trois bases de données les adresses mail et les mots de passe correspondants, ainsi que les pays, les types de comptes et la date de renouvellement.

Le site a pu vérifier l’authenticité des informations auprès de 80 abonnés au service. Quinze d’entre eux ont assuré que leurs mots de passe étaient uniques à Spotify. Les hackers ont pu simplement utiliser la force brute pour parvenir à leurs fins, sans passer par une faille de sécurité. La présence de ces bases en libre service sert à attirer les acheteurs potentiels, qui s’intéressent aux informations bancaires des victimes.

On ignore qui sont les pirates à l’origine de ce vol de données et, aux dernières nouvelles, Spotify indique ne pas avoir été piraté. Un porte-parole du service précise que Spotify vérifie régulièrement Pastebin et « les autres sites régulièrement ». Quand des données provenant de Spotify sont repérées, « nous vérifions d’abord qu’elles sont authentiques et si elles le sont, nous prévenons immédiatement les utilisateurs pour qu’ils changent de mots de passe ».

Les utilisateurs piratés n’ont pas, dans leur très grande majorité, été prévenus par Spotify, relève Forbes. Pour savoir si un de votre compte en ligne a été piraté, Haveibeenpwned peut rechercher cette info désagréable afin que vous puissiez modifier le mot de passe du service compromis.

Tags
avatar wissimbouffe | 

Et si l'on se connecte avec Facebook ?!

avatar C1rc3@0rc | 

ça c'est le pire et la demonstration a deja ete faite plusieurs fois du danger massif que ça represente.
Ne jamais, o grand jamais s'identifier sur un site avec son ID facebook, Google, Outlook, Linkedin,...

Par principe il faut avoir un identifiant (email) et mot de passe UNIQUE par SITE. JAMAIS les meme mot de passe et encore moins le meme email. Les alias mails sont fait pour ça!

«Les hackers ont pu simplement utiliser la force brute pour parvenir à leurs fins, sans passer par une faille de sécurité.»

Ou ont utilisé une faille ou une backdoor, ce qui va des milliers de fois plus vite que la force brute!

Faut comprendre que pour ce type de site le produit c'est le client et ses infos. ça vaut de l'or pour les marketeux et malgré ça ces sites sont montés a la va-vite histoire de capter le plus vite possible un maximum d'utilisateurs pour faire gonfler l'action et espérer faire une grosse plus value quand un gros du secteur les rachète...

Bref une clouderie de plus

avatar MacGyver | 

un MDP par site, ok ca se gere avec 1password masi un mail different par site, ca commence a faire beaucoup a gerer

avatar C1rc3@0rc | 

Oui cela demande un systeme informatique tres elaboré et basé sur un materiel composé d'un ensemble heterogene complémentaire basé sur des structures de carbone dihexagonale et dipyramidale associées a un agrégat hexagonal de chaines lineaires de molecules de D-Glucose.

Cela necessite aussi un logiciel complexe faisant appel a un systeme expert capable de s'automodifier et d'une capacité de traitement analogique/numérique basé sur le principe d'une communication hautement asynchrone tout en répondant a un principe de contrôle cybernetique autogène.

En résumé on appel ça un couple calepin-crayon et une discipline minimale.

avatar Kounkountchek | 

@C1rc3@0rc :
Bonjour la parano!

Perso j'ai un compte Spotify premium mais ils n'ont pas mes infos de paiement (paypal)
- généralement je privilégie les sites ou l'on paye par PayPal ou bien ou l'on peut acheter des cartes cadeaux (itunes, ps store, Spotify etc...)
- 1password pour avoir un mdp unique par site
- 1password pour remplir rapidement mes données de CB pour les sites qui le necessite (et j'évite au max de laisser les sites enregistrer ces données dans leur base de données)
- synchro 1password en local

Je trouve que c'est un bon compromis

avatar C1rc3@0rc | 

@Kounkountchek
C'est pas de la parano c'est du bon sens, comme dans ton cas.

Ne jamais lier ton compte a tes references bancaires c'est effectivement la base de la securité. Le fait est que l'on peut encore utiliser tres souvent des cartes cadeaux, ce qui en cas de hcking d'un de tes comptes tu as la garantie que tes informations bancaires ne tomberont pas dans les mains des cybercriminels.

Empêcher que 1password balance ses données sur le cloud c'est aussi un fondamental.

avatar bonnepoire | 

Avec le trousseau c'est très simple pourtant.

avatar Lestat1886 | 

Mmm avec votre site j'ai decouvert que mes données ont été piratées via Adobe et, plus grave, domino pizza...

avatar iphonophile | 

Je ne savais que ce genre de site existé !! Il est fiable ???

avatar bugman | 

@iphonophile :
Certainement la question du jour ! J'entre ou j'entre pas mon email sur ce site !?! :)

avatar MacGyver | 

du moment ou tu rentre ton email, ca reviens a leur dire que t'as un identifiant (spotify ou autre) et tu feras partie de leur base de donnees pour la prochaine serie de hack

c'est le genre de site que je mettrai en place si j'etais un hacker

avatar bugman | 

@MacGyver :
Exactement.

avatar C1rc3@0rc | 

il semble fiable.
Faut juste que tu détruises après l'email que tu as rentré dans le site (et que tu changes ton identifiant par la même occasion sur le site que tu craignais avoir ete piraté)... dans tous les cas. C'est un peu comme le chat de Schrödinger quoi...

Plus simple: utilises une adresse email par site (un alias mail style yahoo ou outlook) et tu changes de mot de passe régulièrement.

avatar r e m y | 

Bonne idée ce site pour qui veut récupérer des tonnes d'adresses emails valides...

avatar Mickaël Bazoge | 
Notez qu'il est aussi possible d'entrer un identifiant.
avatar DouceProp' | 

C'est soit un coup de Kanye West aka Bitonnet de poisson, soit un coup des mecs d'Apple Music pour dire à la Terre entière que le chiffrement des données c'est bien, et qu'il faut écouter Taylor Swift en streaming.

avatar le ratiocineur masqué | 

"Pour savoir si un de votre compte en ligne a été piraté, Haveibeenpwned peut rechercher cette info désagréable afin que vous puissiez modifier le mot de passe du service compromis."

Ce qui est rigolo c'est que j'ai essayé "sjobs@apple.com" sur "havibeepwned" et il sort plein de résultats dont le suivant : 

"Heroes of Newerth: In December 2012, the multiplayer online battle arena game known as Heroes of Newerth was hacked and over 8 million accounts extracted from the system. The compromised data included usernames, email addresses and passwords."

Est-ce que ça veut dire que Steve était fan du multijoueur en ligne Heroes Of Newerth ??!! loooool je l'imaginais pas comme ça mais bon.... chacun ses goûts !

avatar tbr | 

On devrait leur proposer de prendre contact avec Tim. Il leur expliquerait comment r forcer leur sécurité. :-)

CONNEXION UTILISATEUR