Dirigée par Noam Rotem et Ran Locar, l'équipe de recherche de vpnMentor a découvert un fichier de 72 Go, disponible en libre accès sur Internet, contenant les identifiants de 350 000 comptes Spotify. Parmi eux, plus de 47 000 appartiennent à des utilisateurs français.

Une base de données utilisée pour faire gonfler les streams sur Spotify

C'est une découverte majeure qui a été faite par les équipes de vpnMentor : 350 000 comptes Spotify ont été "piratés" pour faire gonfler artificiellement le nombre de lectures sur certains morceaux depuis la plateforme de streaming, mais dans quel but ? Deux scénarios sont possibles : dans le premier, ce sont de véritables artistes qui payaient les hackers pour voir le nombre de leurs streams augmenter et ainsi toucher un pourcentage plus important de la part de Spotify. Dans le second, les hackers ont eux-mêmes mis en ligne de "fausses" musiques sur la plateforme et faisaient gonfler les statistiques de celles-ci pour toucher directement un pourcentage payé par le service de streaming.

Spotify, qui a été mis au courant de cette faille l'été dernier, a rapidement réagi en effectuant une réinitialisation des mots de passe concernés.

Les utilisateurs eux-mêmes seraient responsables de cette fuite

La question se pose : Spotify est-il responsable de cette fuite massive ? Eh bien, probablement pas. Si l'origine de ce leak n'est pas encore confirmée à l'heure actuelle, les chercheurs de vnpMentor estiment que les seuls fautifs seraient en réalité les utilisateurs eux-mêmes. En effet, pour accéder à ces comptes Spotify, les hackers auraient eu recours à la méthode du "credential stuffing" qui consiste, dans un premier temps, à récupérer des listes aléatoires d'identifiants et de mots de passe mal sécurisés directement sur le DarkWeb.

À partir de ces fichiers, ils auraient ensuite lancé un robot qui a eut pour mission de faire correspondre les données avec des comptes Spotify... Et ça a marché. En effet, de nombreux internautes utilisent encore trop souvent le même identifiant et le même mot de passe pour différents comptes internet ; un constat déjà établi par Nordpass dans le classement des pires mots de passe de 2020.

Heureusement, cette fuite ne devrait pas avoir de conséquences directes trop importantes pour les utilisateurs puisque seuls les identifiants et les mots de passe ont été mis en ligne. Les coordonnées bancaires, elles, auraient été épargnées. Plus de peur que de mal ! Toutefois, cette affaire est une nouvelle fois l'occasion de rappeler qu'il est primordial d'utiliser un mot de passe unique et suffisamment sécurisé pour chaque compte créé sur Internet.