En bref: Spotify est facilement l’un des services de streaming de musique les plus populaires au monde, et pour une bonne raison: il est pratique et sa bibliothèque musicale est massive (et en constante augmentation). Cependant, plus la base d’utilisateurs du service augmente, plus le risque de faille de sécurité augmente, comme les fans de Spotify l’ont appris à leurs dépens récemment. Des centaines de milliers d’utilisateurs ont été touchés par une fuite de base de données tierce, qui a révélé les informations de connexion et conduit l’entreprise à réinitialiser jusqu’à 350 000 mots de passe.
Pour être parfaitement clair, Spotify lui-même n’a été attaqué ou violé d’aucune manière (à notre connaissance). Les attaques de bourrage d’informations d’identification se produisent lorsque de grandes bases de données de mots de passe fuient sur le Web et que des pirates tentent d’utiliser les informations d’identification exposées sur autant de sites que possible. Inévitablement, ils pourront accéder à au moins quelques sites et services.
Si vous appliquez une bonne hygiène de mot de passe et assurez-vous de ne pas réutiliser les mêmes informations de connexion sur plusieurs sites Web ou services, vos chances d’être pris dans l’une de ces violations chutent à presque zéro. Cependant, comme beaucoup d’entre nous avec des parents moins avertis en technologie le savent, tout le monde ne le fait pas.
Malheureusement pour Spotify, il semble bien que plus de 300 000 de ses utilisateurs soient tombés dans ce camp. Si vous êtes l’un d’entre eux et que vous avez récemment reçu une notification de réinitialisation de mot de passe de Spotify, nous vous recommandons vivement de réinitialiser votre mot de passe sur tous les autres sites Web pour lesquels vous avez utilisé les mêmes informations d’identification.
Toutes ces données ont été exposées dans une «base de données de 72 Go», qui contenait plus de «380 millions d’enregistrements». La base de données a été trouvée et son existence était divulgué publiquement par des chercheurs de vpnMentor, un blog axé sur la cybersécurité et la confidentialité sur Internet. Les autres données vpnMentor trouvées dans la base de données incluent les adresses e-mail et les pays de résidence.
Encore une fois, rien de tout cela n’est la faute de Spotify. Comme le souligne vpnMentor, les entreprises ne peuvent pas empêcher les consommateurs d’utiliser et de réutiliser des mots de passe faibles – elles ne peuvent qu’aider les utilisateurs à regagner leurs comptes, c’est précisément pourquoi Spotify a effectué cette réinitialisation de mot de passe en masse.