Reimpostazione delle password utente di Spotify dopo un nuovo incidente di sicurezza
Spotify sembra non riuscire a prendersi una pausa. Dopo che un database è stato trovato online fluttuante, contenente dati che appartenevano agli utenti di Spotify alla fine di novembre 2020, ora la società ha effettuato una nuova ondata di reimpostazione della password a un gruppo di altri utenti.
Il nuovo incidente ha coinvolto Spotify che ha inconsapevolmente esposto parti di informazioni private dell'utente a un certo numero di suoi partner commerciali. Secondo la notifica ufficiale che la società ha presentato, le informazioni esposte "potrebbero contenere" e-mail degli utenti, nomi visualizzati, password, sesso e data di nascita.
La notifica menziona che l'esposizione dei dati è avvenuta a causa di una vulnerabilità del software che sembra esistere da sette mesi ma è stata individuata solo a metà novembre 2020. Non c'erano informazioni specifiche sulla vulnerabilità che ha portato all'incidente o qualsiasi specifica su come prende posto.
Se questa è una consolazione, Spotify ha anche contattato i partner commerciali che "potrebbero" essere stati in grado di accedere alle informazioni sui clienti di Spotify, per "assicurarsi" in qualche modo che queste informazioni siano state prontamente cancellate.
La società inoltre non ha rilasciato alcuna informazione riguardante l'esatta portata delle informazioni esposte e il numero di utenti che ne sono stati interessati. L'unica descrizione del volume dell'incidente era che un "piccolo sottoinsieme" di utenti era interessato. Un piccolo sottoinsieme di oltre 320 milioni di utenti può essere qualsiasi cifra a sette cifre o più.
Il precedente incidente che ha coinvolto i dati degli utenti di Spotify è avvenuto a fine novembre. I ricercatori di sicurezza che eseguono la loro solita ricerca di database online non protetti hanno trovato un database che perde, molto probabilmente gestito da hacker, pieno di password e probabilmente utilizzato per il riempimento delle credenziali .
Spotify ha spinto un'altra reimpostazione di massa della password per tutti gli utenti le cui credenziali sono state trovate nel database degli hacker. Gli utenti interessati sono stati avvisati tramite posta elettronica.