Los piratas informáticos que robaron 350, 000 las contraseñas de Spotify las almacenaron en un servidor en la nube sin contraseña. Los piratas informáticos acceden a las contraseñas utilizando un caché de credenciales de inicio de sesión robadas de otras violaciones de datos, ya que todos los usuarios a los que les robaron sus contraseñas de Spotify estaban reutilizando la misma contraseña en varias cuentas, el mayor error de seguridad de la contraseña.
Los piratas informáticos que robaron las contraseñas fueron víctimas de un paso en falso de seguridad similar, ya que guardaron las contraseñas en una base de datos en la nube no segura, la cual fue expuesta a troyanos. Esto significó que cualquier persona con un navegador web podía ver la base de datos sin necesidad de una contraseña para acceder a ella.
Hicham Bouali, ingeniero de preventas para EMEA en One Identity, aclaró que la violación de datos no estaba en el extremo de Spotify: “Aquí, los atacantes lograron descubrir que una base de datos robada (proveniente de otro lugar) con la combinación de Nombre de usuario / Contraseña podría verificarse contra Spotify mediante el relleno de credenciales”.
Como los usuarios a menudo hacen malabares con la misma contraseña para sus diferentes cuentas en línea, los ciberdelincuentes usan Botnets, bots de computadora, para probar miles de combinaciones de ID y contraseñas en servicios conocidos. Para evitar este tipo de ataque, o cualquier ataque relacionado con contraseñas (fuerza bruta, rociado de contraseñas, etc.), la mejor solución es implementar la autenticación multifactor siempre que sea posible ”.
Chris Clements, vicepresidente de arquitectura de soluciones de la empresa de software de ciberseguridad Cerberus Cyber Sentinel, sin embargo, explicó que no toda la culpa debe ser de quienes carecen de creatividad: “Es fácil culpar a los usuarios por la mala higiene de las contraseñas, pero la realidad es que es muy difícil elegir una sola contraseña segura. Aún más difícil es hacerlo para cada cuenta en línea que puedan tener y luego mantenerse al día con todas ”.
Por esta razón, Clement aconseja a los usuarios que confíen en los administradores de contraseñas: “Los administradores de contraseñas hacen un gran trabajo para aliviar este problema, pero los gratuitos integrados en dispositivos móviles o navegadores web pueden presentar un problema para los usuarios si necesitan iniciar sesión en una cuenta desde un tipo diferente de dispositivo, por ejemplo, el administrador de contraseñas Apple Keychain integrado funciona muy bien en iPhones o computadoras Mac, pero no en PC con Microsoft Windows. Los administradores de contraseñas de terceros pueden resolver este problema, pero a menudo requieren una suscripción para su uso. Hay algunos que ofrecen niveles gratuitos, así como opciones de código abierto, como Bitwarden, que ofrecen buenas soluciones ”.