Les mots de passe des comptes concernés ont été réinitialisés par précaution. Une base de données regroupant les identifiants d’au moins 300.000 comptes Spotify a été découverte sur la toile. Cette dernière regroupait des informations sensibles sur un nombre important d’utilisateurs Spotify sans qu’aucun mot de passe ni système de cryptage ne la protège, renforçant ainsi le risque que les quelque 300.000 comptes soient piratés. Le serveur tiers contenant 72 Go de données a été repéré par deux chercheurs, Noam Rotem et Ran Locar de vpnMentor, dans le cadre de leur projet de cartographie d’Internet. Ces 72 Go d’informations regroupaient pas moins de 380 millions de données en tous genres « y compris les identifiants de connexion et d’autres données utilisateurs du service Spotify », ont précisé les deux chercheurs dans leur rapport. Les adresses mail, données personnelles, pays de résidence, identifiants et mots de passe se trouvaient sur ce serveur en accès libre. L’origine de la base de données est inconnue. Elle n’a pas été constituée par le service de streaming suédois. On peut donc imaginer que les informations regroupées ont été volées et que l’objectif derrière cette base de données était de nuire aux utilisateurs concernés. « Ces identifiants ont très probablement été obtenus illégalement, ou potentiellement divulgués par d’autres sources, et ont été utilisés pour des attaques de credential stuffing contre Spotify », ont d’ailleurs précisé les chercheurs. Entre 300.000 et 350.000 abonnés Spotify sont concernés par cette base de données illégitime. Prévenu en juillet dernier du problème par les chercheurs, Spotify a pris contact avec les comptes concernés par cette fuite de données sensibles et a lancé une campagne de réinitialisation des mots de passe pour les utilisateurs concernés. Quant à savoir si les données collectées ont bel et bien été utilisées pour nuire à des personnes, difficile à dire. Dans tous les cas, si Spotify vous a contacté pour réinitialiser votre mot de passe, pensez à le modifier sur vos autres comptes qui utilisent la même combinaison d’identifiants. Les personnes à l’origine de la base de données pourraient tenter cette combinaison sur d’autres sites et donc, pirater vos comptes.