Spotify, hackerata la famosa app di streaming musicale: rischi per Android Auto e Apple CarPlay

Tra la miriade di servizi dedicati all’ascolto della musica in streaming, Spotify è senza dubbio l’app per smartphone Android e iOS più scaricata e usata al mondo. Di conseguenza, questo servizio di streaming risulta anche il più utilizzato in auto, grazie alla compatibilità con i sistemi per infotainment Android Auto e Carplay di Apple che permettono di visualizzare e gestire le app dello smartphone direttamente display della propria vettura.

Un successo planetario

Secondo i dati diffusi direttamente da Spotify, lo scorso ottobre, gli utenti attivi nell’ultimo mese sono stati 320 milioni, di cui ben 144 sono abbonati al servizio Premium (niente pubblicità, skip dei brani illimitati, creazione delle playlist, etc.).

Attacco hacker

Purtroppo, il successo e la visibilità di questo servizio di musica in streaming avrebbero attirato l’attenzione di alcuni hacker che – secondo un rapporto diffuso dalla società informatica VPNMentor – sono riusciti a violare centinaia di migliaia di account Spotify. In occasione di questo “attacco”, non sono stati violati i sistemi di sicurezza del servizio, ma è stata utilizzata una tecnica di hacking piuttosto diffusa ed efficace conosciuta con il nome di “credential stuffing”. Il funzionamento di questa tecnica di hacking è tanto semplice, quanto geniale: considerando che la maggior parte degli utenti di internet utilizza le medesime password per l’accesso e la registrazione dei vari servizi on-line, gli hacker violano i siti con le protezioni informatiche più basse per poter scoprire le password da utilizzare successivamente per l’accesso ad altri servizi.

Migliaia di account a rischio

VPNMentor avrebbe scovato un vasto database da 72GB, con all’interno oltre 380 milioni di credenziali di accesso, la cui origine è sconosciuta. Secondo il team di ricerca tra questi dati si troverebbero circa 300mila credenziali che potrebbero essere utilizzati per accedere ad altrettanti account di Spotify.

L’azienda di streaming online era già corsa ai ripari lo scorso mese di luglio, durante il quale ha effettuato il reset forzato delle password di tutti gli utenti coinvolti nell’attacco. Il problema di fondo però rimane, considerando che Spotify non utilizza come protezione la cosiddetta “autenticazione a più fattori”, come ad esempio quella che prevede l’invio di SMS con codici univoci, con scadenza a tempo e associati rispettivamente ad un singolo numero di telefono e account.

Come proteggersi?

Nell’attesa che Spotify prenda provvedimenti molto più efficaci in termini di sicurezza informatica, consigliamo a tutti gli utenti del servizio di cambiare immediatamente la propria password con una più sicura che utilizzi lettere minuscole, lettere maiuscole e simboli speciali (#, @, !, §, ?, etc. ). Infine consigliamo di utilizzare una password diversa per ogni servizio, in questo modo si eviterà di cadere vittima del già citato “credential stuffing”.