Como medida de segurança, o Spotify forçou a redefinição de senha para cerca de 350.000 usuários que tiveram suas credenciais vazadas. As informações foram encontradas por pesquisadores da vpnMentor, num banco de dados com mais de 380 milhões de registros, que eram usados numa fraude conhecida como credential stuffing.

Em comunicado, os pesquisadores deixaram claro que o incidente de segurança não se originou no Spotify. Os criminosos “provavelmente estavam usando credenciais de acesso roubadas em outra plataforma, aplicativo ou site para acessar contas do Spotify”.

• EXAME estreia podcast com resumo diário de notícias

Esse tipo de ataque se aproveita de um costume bastante difundido entre os internautas, o de utilizar a mesma senha e o mesmo login para diferentes serviços. Segundo os pesquisadores, é provável que os hackers por trás dessa ação tenham reunido dados de outros vazamentos e descoberto quais funcionavam no Spotify.

“Trabalhando com o Spotify nós confirmamos que o banco de dados pertencia a um grupo ou indivíduo que o utilizava para fraudar o Spotify e seus usuários”, afirmaram os pesquisadores. “Nós também ajudamos a companhia a isolar o problema e garantir que seus clientes estavam seguros do ataque”.

Esse tipo de ataque é bastante comum e as companhias ficam de mãos atadas, pois não é possível controlar a reutilização de senhas pelos usuários. O que elas podem fazer, e o Spotify fez, é promover boas práticas no registro de senhas e conter o uso de credenciais comprometidas.

Para os usuários, a recomendação é evitar o uso de senhas repetidas. Para facilitar essa medida, existem aplicativos que geram e armazenam senhas complexas. E em caso de dúvidas se suas credenciais já foram vazadas, é possível consultar o site HaveIBeenPwned.